Infection Aartemis

[ropie_one]

Bonjour,

Apparemment comme beaucoup, j'ai été infecté par Aartemis.
Pourriez-vous m'aider ...

Je joins les fichiers suite à analyse avec logiciel téléchargé.

https://upload.sosvirus.net/log/SosUploa ... 14f35f.txt
https://upload.sosvirus.net/log/SosUploa ... 230623.txt

Merci pour votre aide les chirurgiens du Net,

Ropie_one

[Evasion60]

Bonjour et bienvenue sur SoSVirus

Je regarde tes deux logs et reviens

[ropie_one]

OK merci

[Evasion60]

Re

Correction :
Nous avons besoin de corriger certains éléments que FRST a trouvés

Ouvrez le Bloc-notes. Copiez le contenu de la zone Code ci-dessous.
Pour ce faire, sélectionnez le contenu de la zone, faites un clic droit et choisissez Copier
Dans le Bloc-notes, faites un clic droit et choisissez Coller
Enregistrez le fichier sous le nom fixlist.txt sur le bureau // Ou sur la clé USB

Start
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe => Apple Computer%Bonjour for Windows
(Akamai Technologies, Inc.) C:\Users\user\AppData\Local\Akamai\netsession_win.exe => Akamai Technologies, Inc. - Akamai NetSession Client
(Akamai Technologies, Inc.) C:\Users\user\AppData\Local\Akamai\netsession_win.exe => Akamai Technologies, Inc. - Akamai NetSession Client
HKCU\...\Run: [Akamai NetSession Interface] - C:\Users\user\AppData\Local\Akamai\netsession_win.exe [4489472 2013-06-05] (Akamai Technologies, Inc.)
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = {searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = {searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe => Microsoft%Internet Explorer
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = => Infection PUP (PUP.V9Software)
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = => Toolbar.Bing
BHO-x32: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software) => Toolbar.Avast
Toolbar: HKLM-x32 - avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software) => Toolbar.Avast
FF NewTab: hxxp://aartemis.com/newtab/?type=nt&ts=1383944533&from=tugs&uid=WDCXWD2500BEVS-22UST0_WD-WXC90747058270582
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe => Mozilla%Firefox
CHR DefaultSearchURL: (Google) - {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding} => Infection Diverse (Virus.Agent)
2013-11-02 22:40 - 2013-11-08 22:33 - 00000000 ____D C:\Users\user\AppData\Roaming\Azureus => P2P.Azureus*
2013-11-08 22:33 - 2013-11-02 22:40 - 00000000 ____D C:\Users\user\AppData\Roaming\Azureus => P2P.Azureus*
2013-10-24 19:58 - 2012-06-22 21:34 - 00000000 ____D C:\Users\user\AppData\Local\PokerStars.FR => Online.PokerGame
2013-10-24 19:58 - 2012-06-22 21:34 - 00000000 ____D C:\Program Files (x86)\PokerStars.FR => Online.PokerGame
End

NOTE: Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation

Sur Vista ou Windows 7/8, clic droit puis exécuter en tant qu'administrateur
Sur Windows XP: Démarrez avec le CD BartPE
Lancez FRST, cliquez une seule fois sur le bouton Fix et attendez
L'outil va créer un rapport de correction (Fixlog.txt) sur le bureau // Ou la clé USB
Copiez/collez ce rapport dans votre réponse après avoir redémarré le pc normalement

A te lire avec son rapport

[ropie_one]

Evasion 60,

Voici le contenu du fichier fixlog.txt:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 31-10-2013
Ran by user at 2013-11-09 12:30:28 Run:1
Running from C:\Users\user\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
Start
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe => Apple Computer%Bonjour for Windows
(Akamai Technologies, Inc.) C:\Users\user\AppData\Local\Akamai\netsession_win.exe => Akamai Technologies, Inc. - Akamai NetSession Client
(Akamai Technologies, Inc.) C:\Users\user\AppData\Local\Akamai\netsession_win.exe => Akamai Technologies, Inc. - Akamai NetSession Client
HKCU\...\Run: [Akamai NetSession Interface] - C:\Users\user\AppData\Local\Akamai\netsession_win.exe [4489472 2013-06-05] (Akamai Technologies, Inc.)
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ... 7058270582
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ... 582&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ... 7058270582
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ... 7058270582
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ... 582&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe ... 7058270582 => Microsoft%Internet Explorer
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = => Infection PUP (PUP.V9Software)
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = => Toolbar.Bing
BHO-x32: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software) => Toolbar.Avast
Toolbar: HKLM-x32 - avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software) => Toolbar.Avast
FF NewTab: hxxp://aartemis.com/newtab/?type=nt&amp ... 7058270582
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe ... 7058270582 => Mozilla%Firefox
CHR DefaultSearchURL: (Google) - {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding} => Infection Diverse (Virus.Agent)
2013-11-02 22:40 - 2013-11-08 22:33 - 00000000 ____D C:\Users\user\AppData\Roaming\Azureus => P2P.Azureus*
2013-11-08 22:33 - 2013-11-02 22:40 - 00000000 ____D C:\Users\user\AppData\Roaming\Azureus => P2P.Azureus*
2013-10-24 19:58 - 2012-06-22 21:34 - 00000000 ____D C:\Users\user\AppData\Local\PokerStars.FR => Online.PokerGame
2013-10-24 19:58 - 2012-06-22 21:34 - 00000000 ____D C:\Program Files (x86)\PokerStars.FR => Online.PokerGame
End
*****************

C:\Program Files\Bonjour\mDNSResponder.exe => Apple Computer%Bonjour for Windows => No running process found
C:\Users\user\AppData\Local\Akamai\netsession_win.exe => Akamai Technologies, Inc. - Akamai NetSession Client => No running process found
C:\Users\user\AppData\Local\Akamai\netsession_win.exe => Akamai Technologies, Inc. - Akamai NetSession Client => No running process found
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\Akamai NetSession Interface => Value deleted successfully.
HKCU\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL => Value was restored successfully.
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Search_URL => Value was restored successfully.
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => Value was restored successfully.
HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => Value was restored successfully.
HKLM\Software\\Microsoft\Internet Explorer\Main\\Search Page => Value was restored successfully.
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\\Default => Value was restored successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Value was restored successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => Key deleted successfully.
HKCR\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => Key not found.
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} => Key deleted successfully.
HKCR\Wow6432Node\CLSID\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} => Key deleted successfully.
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} => Value deleted successfully.
HKCR\Wow6432Node\CLSID\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} => Key not found.
Firefox newtab deleted successfully.
HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\\Default => Value was restored successfully.
CHR DefaultSearchURL: (Google) - {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding} => Infection Diverse (Virus.Agent) ==> The Chrome "Settings" can be used to fix the entry.
"C:\Users\user\AppData\Roaming\Azureus => P2P.Azureus*" => File/Directory not found.
"C:\Users\user\AppData\Roaming\Azureus => P2P.Azureus*" => File/Directory not found.
"C:\Users\user\AppData\Local\PokerStars.FR => Online.PokerGame" => File/Directory not found.
"C:\Program Files (x86)\PokerStars.FR => Online.PokerGame" => File/Directory not found.

==== End of Fixlog ====


Merci encore

[Evasion60]

Re

Nous continuons, car c'est pas terminé

/!\ Procédure à effectuer dans l'ordre des tutos proposés !

/!\Pour les rapports de MalwareBytes Anti-Malware et AdwCleaner
Mettre le curseur de la souris sur le rapport ouvert
Appuyer simultanément sur les touches CTRL et A pour tout sélectionner ( surligné en bleu en général) et relâcher les touches
Appuyer simultanément sur les touches CTRL et C pour copier le contenu du rapport dans le presse-papier de Windows et relâcher les touches
Ouvrir une réponse dans votre sujet sur le forum ou en créer un, y pointer le curseur de la souris
Appuyer simultanément sur les touches CTRL et V pour coller le contenu du presse-papier
Envoyer la réponse et donner des détails précis sur la teneur des problèmes, comment et quand sont-ils apparus, etc...

/!\Pour le rapport de ZHPDiag, il faudra l'héberger sur Sosupload


1/
Télécharger => Malwarebytes Anti-malware
Sous Vista /Win7 / Win8 => clic droit, et exécuter en tant qu'administrateur.
Sous XP => double clic

Pendant l'installation Choisir la langue




Lancer MalwareBytes Anti-Malware

[resizeimg=50]https://www.sosvirus.net/design/antivirus/mbam11.jpg[/resizeimg]


Se rendre dans l'onglet Mise à jour du programme après son lancement
Faites la mise à jour






Une fois le programme relancé après mises à jour, dans l'onglet Recherche sur lequel s'ouvre ce dernier

Cocher Exécuter un examen rapide

Cliquer sur Rechercher






Lorsque le scan est terminé, après une dizaine de minutes selon les configurations, cliquer sur Afficher les résultats


Dans la nouvelle fenêtre, cocher tout et cliquer sur le bouton Supprimer la sélection






Poster un copier-coller du rapport qui s'ouvrira automatiquement
Il n'est pas nécessaire de l'héberger ce dernier étant relativement petit
Voir plus de cette aide




2/

de AdwCleaner(d'Xplode)

Télécharge et enregistre AdwCleaner d'xplode sur ton bureau.
Clique sur AdwCleaner pour le lancer
Clique sur "Scanner"



Une fois le Scan terminé, clique sur "Rapport"
Copie/Colle le rapport dans ta réponse, sur le forum

Relance AdwCleaner
Clique sur "Nettoyer"
A l'issue, le rapport de nettoyage va s'afficher, poste le par copier/coller dans ta réponse, sur le forum
Vous pouvez fermer le programme

Note : Le rapport est également sauvegardé sous C:\AdwCleaner\AdwCleaner[0].txt



3/

Téléchargez et enregistrez ZHPDiag => https://www.sosvirus.net/telecharger/zhpdiag/ sur votre ordinateur.
Cliquez ensuite sur le fichier téléchargé pour exécuter l'installation du logiciel.
Laissez vous guider lors de l'installation en laissant les réglages par défaut, n'oubliez pas de cocher la case "raccourci bureau".
Suite à ces actions, deux raccourcis bureau sont présents. (ZHPFix, ZHPDiag)



Pour exécuter une analyse compléte, cliquez sur l'icône bureau "ZHPDiag" représentant un "parchemin".
Dans l'interface du logiciel, cliquez sur le bouton "Configurer" pour accéder aux réglages.
Cliquez ensuite sur bouton " Loupe + " en bas à gauche, pour lancer un Diagnostic Full options



L'analyse s'effectue, patientez quelques minutes pendant le travail de l'outil indiqué par "Traitement en cours...".



Il arrive parfois que le programme affiche un message "Ne répond pas", attendez qu'il le fasse.
Le blocage étant le plus souvent "temporaire"...patientez



A l'issue de l'analyse le rapport va s'ouvrir dans le bloc note
Vous pouvez poster ce rapport par copier/coller et fermer le programme.
Le rapport ZHPDiag.txt sera aussi sur votre bureau.
En cas de nécessité, il est sauvegardé dans C:\user\nomxx\AppData\Roaming\ZHP\ZHPDiag.txt

Rappel pour poster par copier/coller

Vérifier dans le bloc notes (Notepad) > Format , que "Retour automatique à la ligne" soit décoché.
Mettre le curseur de la souris sur le rapport ouvert
Appuyer simultanément sur les touches CTRL et A pour tout sélectionner (surligné en bleu en général) et relâcher les touches.
Appuyer simultanément sur les touches CTRL et C pour copier le contenu du rapport dans le presse-papier de Windows et relâcher les touches.
Ouvrir une réponse dans votre sujet sur le forum qui vous aide ou en créer un, y pointer le curseur de la souris.
Appuyer simultanément sur les touches CTRL et V pour coller le contenu du presse-papier.

Si le rapport est trop lourd alors hébergez le afin d'y accéder

Rendez vous sur Sosupload
Cliquez sur "Parcourir" pour recueillir le rapport qui est sur votre ordinateur.
Vous "collez" ce lien dans votre réponse sur le forum qui vous aide.

Reviens avec les trois rapports / STP

[ropie_one]

Re-re salut Evasion 60,
Me revoilà avec mes 4 rapports
- 1 rapport issu de Malaware (collé ci-dessous)
- 2 rapports issus de ADW (collés ci-dessous)
- 1 rapport issu de ZHP diag (dont voici le lien : )

Rapport issu de Malaware:

Malwarebytes Anti-Malware 1.75.0.1300


Version de la base de données: v2013.11.09.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
user :: USER-PC [administrateur]

09/11/2013 13:45:57
MBAM-log-2013-11-09 (13-56-48).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 206849
Temps écoulé: 4 minute(s), 23 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\user\AppData\Local\Temp\MircosoftStudio\eGdpSvc.exe (PUP.Optional.Wsys.A) -> Aucune action effectuée.
C:\Users\user\AppData\Local\Temp\Player_Setup(1).exe\218ed282719c4ec281e8d49064001c69\parent.txt (PUP.Optional.BundleInstaller.A) -> Aucune action effectuée.
C:\Users\user\AppData\Local\Temp\Player_Setup(1).exe\218ed282719c4ec281e8d49064001c69\Player_Setup(1).exe (PUP.Optional.BundleInstaller.A) -> Aucune action effectuée.

(fin)

Rapport issu de ADW (après SCAN):

# AdwCleaner v3.011 - Rapport créé le 09/11/2013 à 14:08:27
# Mis à jour le 03/11/2013 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : user - USER-PC
# Exécuté depuis : C:\Users\user\Downloads\adwcleaner.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16720


-\\ Mozilla Firefox v25.0 (fr)

[ Fichier : C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\65l3dmoq.default\prefs.js ]


-\\ Google Chrome v

[ Fichier : C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [12088 octets] - [09/11/2013 09:29:45]
AdwCleaner[R1].txt - [1128 octets] - [09/11/2013 10:23:35]
AdwCleaner[R2].txt - [897 octets] - [09/11/2013 14:08:27]
AdwCleaner[S0].txt - [11805 octets] - [09/11/2013 09:30:27]
AdwCleaner[S1].txt - [1191 octets] - [09/11/2013 10:24:20]

########## EOF - C:\AdwCleaner\AdwCleaner[R2].txt - [1077 octets] ##########

Et le rapport issu de ADW (après NETTOYAGE):

# AdwCleaner v3.011 - Rapport créé le 09/11/2013 à 14:10:08
# Mis à jour le 03/11/2013 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : user - USER-PC
# Exécuté depuis : C:\Users\user\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16720


-\\ Mozilla Firefox v25.0 (fr)

[ Fichier : C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\65l3dmoq.default\prefs.js ]


-\\ Google Chrome v

[ Fichier : C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [12088 octets] - [09/11/2013 09:29:45]
AdwCleaner[R1].txt - [1128 octets] - [09/11/2013 10:23:35]
AdwCleaner[R2].txt - [1157 octets] - [09/11/2013 14:08:27]
AdwCleaner[S0].txt - [11805 octets] - [09/11/2013 09:30:27]
AdwCleaner[S1].txt - [1191 octets] - [09/11/2013 10:24:20]
AdwCleaner[S2].txt - [1079 octets] - [09/11/2013 14:10:08]

########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [1139 octets] ##########


Merci encore pour ton aide,
J'ai l'impression d'apercevoir le bout du tunnel ! Non ?

Ropie_one (kenobi)

[Evasion60]

Re

/!\ STP, essaie de bien lire nos demandes
MBAM, n'a pas été passé comme il faut
La suppression des entrées infectieuses trouvées, n'a pas été faite

1/

Relance MBAM
Supprime la sélection trouvée
Poste son rapport

/!\ Les logiciels de P2P (et en Run en plus pour ton cas), sont sources de graves infections !
Les jeux en lignes sont aussi à risques (installent de faux codecs & Co)

2/

Applique ce correctif =>

Ouvre le bloc-notes
Séléctionne et copie dedans le script

Script ZHPFix
ShortcutFix
O3 - Toolbar: (no name) [64Bits] - [HKLM]{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} ClàƒÂ© orpheline => Toolbar.Avast
O4 - GS\Program [Public]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
O4 - GS\Program [Public]: Vuze.lnk . (...) -- C:\Program Files (x86)\Vuze\Azureus.exe (.not file.) => P2P.Azureus*
O4 - GS\QuickLaunch [user]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe
O4 - GS\QuickLaunch [user]: PokerStars.fr.lnk . (.PokerStars - PokerStars Update.) -- C:\Program Files (x86)\PokerStars.FR\PokerStarsUpdate.exe
O4 - GS\QuickLaunch [user]: Vuze.lnk . (...) -- C:\Program Files (x86)\Vuze\Azureus.exe (.not file.) => P2P.Azureus*
O4 - GS\TaskBar [user]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe
O4 - GS\TaskBar [user]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
O4 - GS\Program [user]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe
O4 - GS\SystemTools [user]: Internet Explorer (No Add-ons).lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe
O42 - Logiciel: PokerStars.fr - (.PokerStars.fr.) [HKLM][64Bits] -- PokerStars.fr => Online.PokerGame
O42 - Logiciel: Webplayer version 1.0 - (...) [HKLM][64Bits] -- {0A9893CE-951C-4CD0-A31C-84CCDD7A0077}_is1 => Infection PUP (Adware.SocialSkinz)
O43 - CFD: 24/10/2013 - 19:58:22 - [108,569] ----D C:\Program Files (x86)\PokerStars.FR => Online.PokerGame
O43 - CFD: 24/10/2013 - 19:58:25 - [2,200] ----D C:\Users\user\AppData\Local\PokerStars.FR => Online.PokerGame
O45 - LFCP:[MD5.8E81CD377E587E573852F6486B36ADDF] - 08/11/2013 - 21:15:46 ---A- - C:\Windows\Prefetch\AZUREUS.EXE-997C5496.pf => P2P.Azureus*
O61 - LFC: 08/11/2013 - 14:17:48 ---A- . (...) -- C:\Users\user\Downloads\L'Esquive - DVDRip [].torrent [28319] => P2P.Agent*
O87 - FAEL: "TCP Query User{19B9AFEC-B482-431A-9C6E-84E71CD1A46B}C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\archicad.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\archicad.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{2B044C60-BF89-4ECB-B39C-8DBCCB1F35C8}C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\archicad.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\archicad.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{6A4F05AD-8864-4C92-B0F7-73B167052962}C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\gsquicktimeserver\gsqtserver.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\gsquicktimeserver\gsqtserver.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{0E974547-F744-4710-84A4-320E5E218C67}C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\gsquicktimeserver\gsqtserver.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\gsquicktimeserver\gsqtserver.exe (.not file.) => Fichier absent
O87 - FAEL: "{934B70BB-C027-41B4-BD71-F38AF5860245}" |In - Private - P6 - TRUE | .(...) -- C:\Users\user\AppData\Local\Temp\Rar$EX45.720\ArchiCAD15INT32portable\ArchiCAD15INT32portable\MODIFIED\@PROGRAMFILESX86@\CodeMeter\Runtime\bin\CodeMeter.exe (.not file.) => Fichier absent
O87 - FAEL: "{19D95A92-FB67-4898-B5F4-C6BF5DE11B87}" |In - Private - P17 - TRUE | .(...) -- C:\Users\user\AppData\Local\Temp\Rar$EX45.720\ArchiCAD15INT32portable\ArchiCAD15INT32portable\MODIFIED\@PROGRAMFILESX86@\CodeMeter\Runtime\bin\CodeMeter.exe (.not file.) => Fichier absent
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0A9893CE-951C-4CD0-A31C-84CCDD7A0077}_is1] => Infection PUP (Adware.SocialSkinz)
EmptyCLSID
Emptytemp
EmptyFlash

Double-clique sur le raccourci du programme "ZHPFix" qui est sur ton bureau



Dans l'interface du logiciel qui s'est ouvert, clique sur "Importer" pour coller le Script ZHPFix



Si le script n'est pas conforme
Un avertissement s'affiche
Le script doit comporter obligatoirement comme première ligne Script ZHPFix



Si le script est conforme
Le texte précédemment copié doit être maintenant affiché automatiquement dans l'interface de ZHPFix



Vérifie que le script dans ZHPFix correspond aux lignes précédentes
Clique sur le bouton GO » pour lancer le nettoyage
Confirme ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes




Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script
Le nettoyage s'effectue, ne touche à rien pendant cette étape, si le programme demande un redémarrage du pc fait le
A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows
Le rapport est aussi sauvegardé sur le Bureau Windows et dans le dossier : C\User\nomxxx\AppData\Roaming\ZHP\ZHPFix.txt

Poste le contenu de ce rapport par un copier/coller dans ta réponse sur le forum

Ferme ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres

3/

Mises à jour à effectuer
---\\ Surveillance de Logiciels
Adobe Flash Player 11 Plugin => Adobe Systems // en 11.9.900.117
Adobe Reader X => Adobe Systems // en 11.0.05
Java 7 Update 15 => Oracle // en 7u45

Liens des téléchargements =>

Quand tout est complété, reviens dans ta réponse avec les deux rapports demandés

[ropie_one]

Re Salut,

En effet, je me suis trompé dans le fichier Malaware que je t'ai envoyé
Je t'ai envoyé celui avant suppression. Désolé

Je te joins 2 rapports Malaware:
- Celui que j'aurais du t'envoyer ce matin
- Et celui que je viens de faire (Malaware a retrouver qqchose apparemment !)

Malwarebytes Anti-Malware 1.75.0.1300


Version de la base de données: v2013.11.09.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
user :: USER-PC [administrateur]

09/11/2013 13:57:58
mbam-log-2013-11-09 (13-57-58).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 206939
Temps écoulé: 3 minute(s), 16 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\user\AppData\Local\Temp\MircosoftStudio\eGdpSvc.exe (PUP.Optional.Wsys.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\user\AppData\Local\Temp\Player_Setup(1).exe\218ed282719c4ec281e8d49064001c69\parent.txt (PUP.Optional.BundleInstaller.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\user\AppData\Local\Temp\Player_Setup(1).exe\218ed282719c4ec281e8d49064001c69\Player_Setup(1).exe (PUP.Optional.BundleInstaller.A) -> Mis en quarantaine et supprimé avec succès.

(fin)


Malwarebytes Anti-Malware 1.75.0.1300


Version de la base de données: v2013.11.09.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
user :: USER-PC [administrateur]

09/11/2013 16:52:24
mbam-log-2013-11-09 (16-52-24).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 207115
Temps écoulé: 5 minute(s), 55 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\user\AppData\Local\Temp\ct2504091 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 1
C:\Users\user\AppData\Local\Temp\ct2504091\ism.exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

(fin)


ET le rapport ZHPfix :

Rapport de ZHPFix 2013.11.4.1 par Nicolas Coolman, Update du 03/11/2013
Fichier d'export Registre :
Run by user at 09/11/2013 16:58:18
High Elevated Privileges : OK
Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 23s)
Réparation des raccourcis navigateur

========== Logiciels ==========
ABSENT Uninstall Process: c:\program files (x86)\pokerstars.fr\pokerstarsuninstall.exe
SUPPRIMà‰: Webplayer version 1.0

========== Clés du Registre ==========
SUPPRIMà‰ Logiciel Key: [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PokerStars.fr]
SUPPRIMà‰: [HKLM\SOFTWARE\Classes\CLSID\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5}]

========== Valeurs du Registre ==========
SUPPRIMà‰: Toolbar: {318A227B-5E9F-45bd-8999-7F8F10CA4CF5}
SUPPRIMà‰: TCP Query User{19B9AFEC-B482-431A-9C6E-84E71CD1A46B}C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\archicad.exe
SUPPRIMà‰: UDP Query User{2B044C60-BF89-4ECB-B39C-8DBCCB1F35C8}C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\archicad.exe
SUPPRIMà‰: TCP Query User{6A4F05AD-8864-4C92-B0F7-73B167052962}C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\gsquicktimeserver\gsqtserver.exe
SUPPRIMà‰: UDP Query User{0E974547-F744-4710-84A4-320E5E218C67}C:\users\user\appdata\local\temp\rar$ex45.720\archicad15int32portable\archicad15int32portable\stubexe\@programfilesx86@\graphisoft\archicad 15\gsquicktimeserver\gsqtserver.exe
SUPPRIMà‰: {934B70BB-C027-41B4-BD71-F38AF5860245}
SUPPRIMà‰: {19D95A92-FB67-4898-B5F4-C6BF5DE11B87}

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMà‰S Temporaires Windows (34) (0 octets)
SUPPRIMà‰S Flash Cookies (0) (0 octets)

========== Fichiers ==========
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\windows\start menu\programs\internet explorer.lnk (())
CRà‰à‰: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\internet explorer.lnk (())
CRà‰à‰: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\windows\start menu\programs\accessories\system tools\internet explorer (no add-ons).lnk (())
CRà‰à‰: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\internet explorer\quick launch\launch internet explorer browser.lnk (())
CRà‰à‰: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
SUPPRIMà‰: c:\programdata\microsoft\windows\start menu\programs\mozilla firefox.lnk (())
CRà‰à‰: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\mozilla firefox.lnk (())
CRà‰à‰: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
SUPPRIMà‰: c:\programdata\microsoft\windows\start menu\programs\mozilla firefox.lnk ()
SUPPRIMà‰: c:\programdata\microsoft\windows\start menu\programs\vuze.lnk
SUPPRIMà‰ Redémarrage: c:\program files (x86)\vuze\azureus.exe
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\internet explorer\quick launch\launch internet explorer browser.lnk ()
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\internet explorer\quick launch\pokerstars.fr.lnk
SUPPRIMà‰: c:\program files (x86)\pokerstars.fr\pokerstarsupdate.exe
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\internet explorer\quick launch\vuze.lnk
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\internet explorer.lnk ()
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\mozilla firefox.lnk ()
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\windows\start menu\programs\internet explorer.lnk ()
SUPPRIMà‰: c:\users\user\appdata\roaming\microsoft\windows\start menu\programs\accessories\system tools\internet explorer (no add-ons).lnk ()
SUPPRIMà‰: c:\windows\prefetch\azureus.exe-997c5496.pf
SUPPRIMà‰S Temporaires Windows (0) (0 octets)
SUPPRIMà‰S Flash Cookies (0) (0 octets)


========== Récapitulatif ==========
2 : Clés du Registre
7 : Valeurs du Registre
3 : Dossiers
26 : Fichiers
2 : Logiciels


End of clean in 02mn 37s

========== Chemin de fichier rapport ==========
C:\Users\user\AppData\Roaming\ZHP\ZHPFix[R1].txt - 09/11/2013 16:58:42 [5558]



Merci pour ta patience,
Ropie

[Evasion60]

Re ropie_one

/!\ C'est en bonne orientation de résolution :bravo1:

Tu vas t'aider de l'aide ci dessous !
Regarde avec ce tuto, si il reste des traces de Aartemis (page d'accueil/moteurs de recherche), dans tes Navigateurs Web
Si présents, tu supprimes

Les Moteurs de Recherches sur navigateurs Web

Reconfigure (et faire un tour dans les extensions) les navigateurs WEB :

* Internet Explorer et modules complémentaires / moteurs de recherche =>

* A supprimer des extensions Firefox : Menu Outils / Modules Complémentaires et Extensions =>

Taper dans la barre d'adresse =>
About:support===> Permet de réinitialiser le Firefox
A droite de la page Web, cliquez sur "Réinitialiser"
ou/et
About:config===> Permet de visionner/supprimer des entrées dans le Firefox
A droite, dans la colonne "Valeurs", vous pouvez supprimer par exemple un Moteur de Recherche non désiré !

* A Supprimer des extensions de Google Chrome =>


/!\ Si cela ne suffit pas =>
Supprime tes raccourcis bureau des Navigateurs Web
Vide ta corbeille
Créer des raccourcis tout neuf !

Si aucune trace, nous terminerons