Infection par "La Superba" et autres sur Windows 10

[Syndrome]

Bonjour,

Voilà maintenant une semaine que mon ordinateur sous Windows 10 est infecté par ce moteur intempestif de publicités, que j'utilise Google Chrome ou Mozilla Firefox. Je suspecte également qu'il ne s'agisse pas de l'unique infection vu que des pop-ups apparaissent régulièrement dès que je tente de cliquer sur un lien quelconque ou même simplement sur une page internet...
J'ai essayé de multiples outils de désinfection, parmi Adw Cleaner, JRT de Malware bytes... ces "virus" ne sont pas détectés et par conséquent pas nettoyés, rendant mon expérience sur internet particulièrement dérangeante.

Ce site m'apparaît ainsi comme un dernier espoir de désinfection avant de tout simplement totalement formater mon disque dur et repartir de zéro... ce qui ne m'enchante pas vu le temps que cela prend.

Voici le rapport obtenu avec ZHP DIAG: http://pjjoint.malekal.com/files.php?id ... t5o8f5v5k9

Merci d'avance pour votre aide.

[Malekal_morte]

Salut,

Je t'ai envoyé un message privé, merci de confirmer ici, si cela résout le problème.

[Syndrome]

Bonjour,

J'ai bien reçu votre message privé. Pour l'instant plus de trace de "La Superba", votre outil semble donc avoir fonctionné, merci beaucoup!
J'ai néanmoins encore des pop-up type publicité pour "Repair reimage" ou encore "Engine phpn double pimp" qui apparaissent de manière récurrente...

Merci beaucoup pour ce premier pas en tout cas.

Edit: réapparition de la superba... mais beaucoup moins qu'avant, il semblerait qu'il y ait quand même eu un effet.

[Malekal_morte]

ok, fais ceci :


Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Syndrome]

Merci pour votre réponse.

Voici les trois rapports en question:
- FRST.txt: http://pjjoint.malekal.com/files.php?id ... 127n9e7i13

- Shortcut.txt: http://pjjoint.malekal.com/files.php?id ... _8q5r13k58

- Additionnal.txt: http://pjjoint.malekal.com/files.php?id ... s8v12z8p15

[Malekal_morte]

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


Task: C:\WINDOWS\Tasks\temp_d2b1c579-d1e8-4005-bf22-c9a04ea5faa2-6.job => C:\Program Files (x86)\iWebar\d2b1c579-d1e8-4005-bf22-c9a04ea5faa2-6.exe <==== ATTENTION
HKLM\...\Run: [3D BubbleSound] => C:\Program Files\BubbleSound\3D BubbleSound.exe
HKLM\...\Run: [prtstart] => C:\Program Files\shopperz170920151519\dr_inst.exe url=aHR0cDovL2Nkcy5zNm01bTlkNy5od2Nkbi5uZXQvYWRkb24vcHIvMTcwOTIwMTUvL3ByYzY0LmV4ZQ== lpath=QzpcUHJvZ3JhbSBGaWxlc1xzaG9wcGVyejE3MDkyMDE1MTUxOVxwcmMuZXh (l'élément de données a 24 caractères en plus).
2015-09-20 17:36 - 2015-09-20 17:36 - 00000000 ____D C:\Users\Syndrome\AppData\Local\Apps\2.0
2015-09-20 17:00 - 2015-09-20 17:02 - 00005418 _____ C:\WINDOWS\Tasks\temp_d2b1c579-d1e8-4005-bf22-c9a04ea5faa2-6.job
2015-09-20 17:00 - 2015-09-20 17:00 - 00007664 _____ C:\WINDOWS\System32\Tasks\temp_d2b1c579-d1e8-4005-bf22-c9a04ea5faa2-6
2015-09-20 16:59 - 2015-09-20 17:00 - 00000584 _____ C:\task.vbs
2015-09-20 16:59 - 2015-09-20 17:00 - 00000000 ____D C:\ProgramData\Error while acquiring Windows CryptoAPI context
2015-09-20 16:58 - 2015-09-20 17:02 - 00004744 _____ C:\WINDOWS\SysWOW64\Bicurygnu.ini
2015-09-20 16:58 - 2015-09-20 17:02 - 00002456 _____ C:\WINDOWS\SysWOW64\BicurygnuOff.ini
2015-09-20 16:58 - 2015-09-20 17:02 - 00002456 _____ C:\WINDOWS\system32\BicurygnuOff.ini
2015-09-20 16:58 - 2015-09-20 16:58 - 00000000 ____D C:\WINDOWS\system32\thk
2015-09-20 16:58 - 2015-09-20 16:58 - 00000000 ____D C:\Users\Syndrome\AppData\Local\Tempfolder
2015-09-20 16:58 - 2015-09-17 14:21 - 00353648 _____ C:\WINDOWS\system32\Bicurygnu64.dll
2015-09-20 16:58 - 2015-09-17 14:21 - 00283504 _____ C:\WINDOWS\SysWOW64\Bicurygnu.dll
2015-09-20 16:57 - 2015-09-20 16:57 - 00000000 ____D C:\ProgramData\Kiviamca
2015-09-20 16:52 - 2015-09-20 16:52 - 00000000 _____ C:\places.sqlite
2015-09-20 16:47 - 2015-09-20 16:47 - 00000000 ____D C:\Program Files (x86)\Software
2015-09-20 16:46 - 2013-08-22 15:25 - 00000824 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-09-20 16:45 - 2015-09-20 16:59 - 00000000 ___HD C:\ProgramData\flx
2015-09-20 16:45 - 2015-09-20 16:45 - 00003238 _____ C:\WINDOWS\System32\Tasks\{30614BE1-EE0B-43D3-9FDD-00D1ABBD310D}
2015-09-20 16:43 - 2015-09-24 17:07 - 00000000 ___DC C:\WINDOWS\Panther
2015-09-20 16:43 - 2015-09-20 17:02 - 00000004 _____ C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-09-20 16:42 - 2015-09-20 16:42 - 00631808 _____ C:\WINDOWS\flx.dat



Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/



Si les publicités continuent, indique sur quel navigateur WEB

[Syndrome]

Bonjour,

Voici le contenu du log après correction:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:23-09-2015
Exécuté par Syndrome (2015-09-25 13:40:59) Run:1
Exécuté depuis C:\Users\Syndrome\Desktop
Profils chargés: Syndrome (Profils disponibles: Syndrome)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Task: C:\WINDOWS\Tasks\temp_d2b1c579-d1e8-4005-bf22-c9a04ea5faa2-6.job => C:\Program Files (x86)\iWebar\d2b1c579-d1e8-4005-bf22-c9a04ea5faa2-6.exe <==== ATTENTION
HKLM\...\Run: [3D BubbleSound] => C:\Program Files\BubbleSound\3D BubbleSound.exe
HKLM\...\Run: [prtstart] => C:\Program Files\shopperz170920151519\dr_inst.exe url=aHR0cDovL2Nkcy5zNm01bTlkNy5od2Nkbi5uZXQvYWRkb24vcHIvMTcwOTIwMTUvL3ByYzY0LmV4ZQ== lpath=QzpcUHJvZ3JhbSBGaWxlc1xzaG9wcGVyejE3MDkyMDE1MTUxOVxwcmMuZXh (l'élément de données a 24 caractères en plus).
2015-09-20 17:36 - 2015-09-20 17:36 - 00000000 ____D C:\Users\Syndrome\AppData\Local\Apps\2.0
2015-09-20 17:00 - 2015-09-20 17:02 - 00005418 _____ C:\WINDOWS\Tasks\temp_d2b1c579-d1e8-4005-bf22-c9a04ea5faa2-6.job
2015-09-20 17:00 - 2015-09-20 17:00 - 00007664 _____ C:\WINDOWS\System32\Tasks\temp_d2b1c579-d1e8-4005-bf22-c9a04ea5faa2-6
2015-09-20 16:59 - 2015-09-20 17:00 - 00000584 _____ C:\task.vbs
2015-09-20 16:59 - 2015-09-20 17:00 - 00000000 ____D C:\ProgramData\Error while acquiring Windows CryptoAPI context
2015-09-20 16:58 - 2015-09-20 17:02 - 00004744 _____ C:\WINDOWS\SysWOW64\Bicurygnu.ini
2015-09-20 16:58 - 2015-09-20 17:02 - 00002456 _____ C:\WINDOWS\SysWOW64\BicurygnuOff.ini
2015-09-20 16:58 - 2015-09-20 17:02 - 00002456 _____ C:\WINDOWS\system32\BicurygnuOff.ini
2015-09-20 16:58 - 2015-09-20 16:58 - 00000000 ____D C:\WINDOWS\system32\thk
2015-09-20 16:58 - 2015-09-20 16:58 - 00000000 ____D C:\Users\Syndrome\AppData\Local\Tempfolder
2015-09-20 16:58 - 2015-09-17 14:21 - 00353648 _____ C:\WINDOWS\system32\Bicurygnu64.dll
2015-09-20 16:58 - 2015-09-17 14:21 - 00283504 _____ C:\WINDOWS\SysWOW64\Bicurygnu.dll
2015-09-20 16:57 - 2015-09-20 16:57 - 00000000 ____D C:\ProgramData\Kiviamca
2015-09-20 16:52 - 2015-09-20 16:52 - 00000000 _____ C:\places.sqlite
2015-09-20 16:47 - 2015-09-20 16:47 - 00000000 ____D C:\Program Files (x86)\Software
2015-09-20 16:46 - 2013-08-22 15:25 - 00000824 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-09-20 16:45 - 2015-09-20 16:59 - 00000000 ___HD C:\ProgramData\flx
2015-09-20 16:45 - 2015-09-20 16:45 - 00003238 _____ C:\WINDOWS\System32\Tasks\{30614BE1-EE0B-43D3-9FDD-00D1ABBD310D}
2015-09-20 16:43 - 2015-09-24 17:07 - 00000000 ___DC C:\WINDOWS\Panther
2015-09-20 16:43 - 2015-09-20 17:02 - 00000004 _____ C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-09-20 16:42 - 2015-09-20 16:42 - 00631808 _____ C:\WINDOWS\flx.dat

*****************

C:\WINDOWS\Tasks\temp_d2b1c579-d1e8-4005-bf22-c9a04ea5faa2-6.job => déplacé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\3D BubbleSound => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\prtstart => valeur supprimé(es) avec succès
C:\Users\Syndrome\AppData\Local\Apps\2.0 => déplacé(es) avec succès
"C:\WINDOWS\Tasks\temp_d2b1c579-d1e8-4005-bf22-c9a04ea5faa2-6.job" => Fichier/Dossier non trouvé(e).
C:\WINDOWS\System32\Tasks\temp_d2b1c579-d1e8-4005-bf22-c9a04ea5faa2-6 => déplacé(es) avec succès
C:\task.vbs => déplacé(es) avec succès
C:\ProgramData\Error while acquiring Windows CryptoAPI context => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\Bicurygnu.ini => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\BicurygnuOff.ini => déplacé(es) avec succès
C:\WINDOWS\system32\BicurygnuOff.ini => déplacé(es) avec succès
C:\WINDOWS\system32\thk => déplacé(es) avec succès
C:\Users\Syndrome\AppData\Local\Tempfolder => déplacé(es) avec succès
C:\WINDOWS\system32\Bicurygnu64.dll => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\Bicurygnu.dll => déplacé(es) avec succès
C:\ProgramData\Kiviamca => déplacé(es) avec succès
C:\places.sqlite => déplacé(es) avec succès
C:\Program Files (x86)\Software => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\etc\hp.bak => déplacé(es) avec succès
C:\ProgramData\flx => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{30614BE1-EE0B-43D3-9FDD-00D1ABBD310D} => déplacé(es) avec succès
C:\WINDOWS\Panther => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 => déplacé(es) avec succès
C:\WINDOWS\flx.dat => déplacé(es) avec succès

==== Fin de Fixlog 13:41:00 ====


Pour l'instant, aucune trace de pop-up ou de cette saleté de La Superba après quelques minutes de navigation, alors que j'en avais par légions auparavant! Tout semble réglé en tout cas!
Merci infiniment pour votre aide, ainsi que la rapidité et l'efficacité du service, vous aurez une bonne publicité de ma part!

[Malekal_morte]

Termine par un nettoyage Malwarebyte's Anti-Malware :
* Tutorial Malwarebytes version gratuite
* [Tutorial Malwarebytes version payante


Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html

[Malekal_morte]

Combofix gère cette infection, voir Combofix et v-bates

Par contre, il n'est pas compatible Windows 8.1 et Windows 10
A vos risques, si vous forcez son exécution sur ces versions de Windows.

[Malekal_morte]

Autre fix pour cette infection : RepairDNS