[Réglé] ADSPY/AdSpy.Gen2

[Ask to Old Man]

Bonjour à tous!

Sur mon pc (Windows Vista), Antivir vient de me faire part d'une bien désagréable surprise : ADSPY/AdSpy.Gen2.

Comment faire pour supprimer cette horreur? (et par la même occasion, faire un p'tit bilan complet des éventuels indésirables qui squatteraient mon pc à mon insu)

Merci d'avance pour votre aide!

[marvel]

Salut Pure Narcotic,
Nous allons nous occuper de cet intrus.

Télécharge AD-REMOVER de Cyrildu17 / C_XX sur ton Bureau.

Déconnecte-toi et ferme toutes applications en cours.
Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de nettoyage de l'outil.

Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program files).
(Vista et Seven : clic droit dessus --> Exécuter en tant qu'Administrateur)

Double-clique sur l'icône AD-Remover située sur ton Bureau.
(Vista et Seven : clic droit dessus --> Exécuter en tant qu'Administrateur)

Au menu principal, choisis l'option Nettoyer.

Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(clean).txt )

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure.

[Pure Narcotic]

Bonjour Marvel et merci de ton aide!

J'ai bien téléchargé et enregistré AD-Remover et après avoir fermé toutes les applications et antivirus, j'ai commencé le nettoyage. Le logiciel m'a demandé de redémarrer l'ordinateur pour peaufiner le nettoyage. Voici le rapport:

Code: Tout sélectionner

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:55:49 le 11/11/2010, Mode normal

Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 2 (X86)
Jérémy@PC-DE-JÉRÉMY (Hewlett-Packard HP Pavilion dv7 Notebook PC)
 
============== ACTION(S) ==============


Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskSearch.js
Dossier supprimé: C:\Users\Jérémy\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\ProgramData\AGI

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Jérémy\AppData\Roaming\Mozilla\FireFox\Profiles\h6vwfesu.default\Prefs.js --
Ligne supprimée: 
Ligne supprimée: 
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask");
Ligne supprimée: user_pref("browser.search.order.1", "Ask");
Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true);
Ligne supprimée: user_pref("extensions.snipit.chromeURL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&...
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{536413C9-13B6-4209-9015-8ED07E7DCC79}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{536413C9-13B6-4209-9015-8ED07E7DCC79}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.12 (fr)] **

-- C:\Users\Jérémy\AppData\Roaming\Mozilla\FireFox\Profiles\h6vwfesu.default\Prefs.js --
browser.download.dir, C:\\Users\\Jérémy\\Downloads
browser.download.lastDir, C:\\Users\\Jérémy\\Desktop
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.12
keyword.URL, hxxp://r.orange.fr/r?ref=O_toolbar32_hook_syntaxError&url=http%3A//rws.search.ke.voila.fr/RW/A/O_toolbar31?...

========================================

** Internet Explorer Version [8.0.6001.18975] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 3 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 11/11/2010 (3411 Octet(s))

Fin à: 19:57:48, 11/11/2010
 
============== E.O.F ==============


[marvel]

- Télécharge MalwareByte's Anti-Malware sur ton Bureau.
> Le logiciel est en bas de la page.
Aide en images > tutoriel-malwarebytes-anti-malware-vt-46564.html

- Installe le ensuite en cliquant sur "mbam-setup.exe"
( Xp --> double-clics
Vista et Seven --> clic droit > Exécuter en tant qu'Administrateur).
- Mbam installera un raccourci sur le Bureau > Lance-le et procède ensuite comme tel :

1/ Effectue une mise à jour du logiciel (important) en allant dans l'onglet du même nom.
2/ La MAJ effectuée > ouvre l'onglet Recherche et sélectionne "Exécuter un examen complet.
> puis clique sur le bouton Rechercher.
3/ En fin de scan (plusieurs minutes) une fenêtre te donnera la liste des infections "cochées"
> Sélectionne Supprimer la sélection.
4/ Tu obtiendras enfin un rapport que tu enregistreras sur le Bureau.
5/ Copie et colle ici ce rapport en réponse.

[Pure Narcotic]

J'ai déjà MalwareByte's enregistré sur mon bureau. Je n'ai plus qu'à faire la mise à jour puis procéder à un scan complet?

Je suis actuellement au bureau, je vais lancer le scan ce soir pour ensuite te le communiquer.

[marvel]

Je suis actuellement au bureau, ...

Je compati à cette douloureuse situation

... Je n'ai plus qu'à faire la mise à jour puis procéder à un scan complet?

> Parfaitement!

J'attends ton rapport MBAM pour réagir!

[Pure Narcotic]

Et voici! Je suis parti à un concert et j'ai laissé pèpère tourner tout seul pendant 3 heures:

Code: Tout sélectionner

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5100

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

12/11/2010 21:36:39
mbam-log-2010-11-12 (21-36-39).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|J:\|K:\|L:\|)
Elément(s) analysé(s): 672277
Temps écoulé: 3 heure(s), 13 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


[marvel]

C'est Top!

fais ceci maintenant :
• Télécharge TFC de OldTimer sur ton Bureau et pas ailleurs.
• Lance TFC.exe ...
XP --> Double-clics
Vista & Seven --> Clic droit > Exécuter en tant qu'Administrateur
... et sélectionne le bouton Start

* Ne touche à rien et voici ce qu'il va se passer:
TFC va d'abord fermer Explorer(le Bureau) et tout les processus-logiciels chargés, incluant : antivirus et autre protections. Après avoir compléter son nettoyage, TFC va relancer Explorer et peut proposer-ou-non un redémarrage de l'ordi. pour compléter le nettoyage. Quoi qu'il en soit, avec toute les protections de désactivées ...
--> Redémarre ton PC !

> Confirme et nous passerons à la clôture de ce topic!

[Pure Narcotic]

Ca y est, je l'ai téléchargé et j'ai procédé au petit scan. Il n'y a pas eu de rapport par contre!

[marvel]

Salut!
C'est normal pour TFC! C'est un logiciel de nettoyage des fichiers temporaires pouvant être stockés sur toutes les partitions d'un PC.

Désactive temporairement Antivir et effectue un scan en ligne de ton PC :
Lance un scan Nod32.
> (il faut utiliser Internet Explorer)
Coche toutes les cases à chaque fois ; une fois le scan achevé,
colle le rapport ici en réponse :
-> C:\Program Files\EsetOnlineScanner\log.txt <-- le rapport

[Pure Narcotic]

Aaaah... Internet Explorer ne marche pas sur mon pc, à chaque fois, celui-ci m'oblige à travailler hors connexion. J'ai réessayé, impossible de se connecter sur ce navigateur, seul Mozilla fonctionne.

[marvel]

Ce virus modifie les paramètres de proxy.
On va le vérifier.

Sous ta session,

• Démarrer --> Panneau de Configuration --> Options Internet --> Connexions
• Clique sur Paramètres réseau


puis dans la fenêtre ouverte
• Vérifie que l'option " détecter automatiquement les paramètres de connexion " soit bien cochée.
• Vérifie également que l'autre option " Utiliser un serveur proxy .... " ne soit pas cochée. Décoche-la s'il le faut.
Si il y a des valeurs d'ecrites pour l'adresse et le port, efface-les.


• Redémarre ensuite le PC. Reviens sous ta session et essaye de te connecter au net.

• Si c'est OK, effectue le scan!

[Pure Narcotic]

Bon alors j'ai effectué les modifications comme demandée, ("détecter automatiquement les paramètres de connexion" n'était pas coché et le port 80 était "choisi" par défaut). Après avoir redémarré le pc, c'est toujours la même chose.

[marvel]

Quand tu cliques sur "Etablir une connexion à Internet", tu n'y arrives pas? ni avec "connexion" sur la page d'info?
Tu as désactivé "Travailler hors connexion" en passant par Fichier?

[Pure Narcotic]

Non, sur Internet Explorer ça merdoie, mais c'est peut-être aussi parce que c'est une version ancienne. Je ne m'en sers jamais, je vais toujours sur Internet via Mozilla.

J'ai retenté et je reste toujours hors-connexion sur Explorer.