BV:Bicololo-AP 2015-03-15T18:00:46+00:00
8 sujets de 1 à 8 (sur un total de 8)
  • Auteur
    Messages
  • pignon
    Participant
    Nombre d'articles : 7

    Bonjour,
    j’ai été récemment envahi par toute une série de malwares. J’ai par mes propres moyen tenter de les retirer avec AdwCleaner et Malwarebytes.
    Le résultat été satisfaisant, plus d’ouverture de fenêtre intempestive, plus d’onglet avec des sites bizarres.
    Cependant 10 jours après, en faisant un scan meticuleux avec Avast, je m’aperçois de la présence de “BV:Bicololo-AP” dans C:ProgramDataMicrosoftSearchDataApplicationsWindowstmp.edb.
    Je n’arrive pas à le retirer. De plus en préparant ce post j’ai vu qu’avec ZHPDiag il reste encore quelques malwares.
    merci de votre patience.
    Cordialement.
    fred.

    fichier adwcleaner

    Spoiler for 3lqs7i8y

    # AdwCleaner v4.112 – Rapport créé le 15/03/2015 à 12:58:03
    # Mis à jour le 09/03/2015 par Xplode
    # Base de données : 2015-03-05.1 [Serveur]
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x64)
    # Nom d'utilisateur : fred – BAS
    # Exécuté depuis : C:UsersfredDownloadsadwcleaner_4.112.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:Program Files (x86)Super Optimizer
    Dossier Supprimé : C:Program Files (x86)XTab
    Dossier Supprimé : C:UsersfredAppDataRoamingmystartsearch
    Dossier Supprimé : C:UsersfredAppDataRoamingWTools

    ***** [ Tâches planifiées ] *****

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    Clé Supprimée : HKLMSOFTWAREClassesAppID{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
    Clé Supprimée : HKLMSOFTWAREClassesCLSID{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
    Clé Supprimée : HKLMSOFTWAREClassesCLSID{826D7151-8D99-434B-8540-082B8C2AE556}
    Clé Supprimée : HKLMSOFTWAREClassesInterface{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
    Clé Supprimée : HKLMSOFTWAREClassesInterface{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}
    Clé Supprimée : HKLMSOFTWAREClassesTypeLib{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
    Clé Supprimée : [x64] HKLMSOFTWAREClassesInterface{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
    Clé Supprimée : [x64] HKLMSOFTWAREClassesInterface{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}

    ***** [ Navigateurs ] *****

    -\ Internet Explorer v11.0.9600.17689

    -\ Mozilla Firefox v35.0.1 (x86 fr)

    -\ Google Chrome v40.0.2214.115

    *************************

    AdwCleaner[R0].txt – [23459 octets] – [20/08/2014 12:02:53]
    AdwCleaner[R1].txt – [1796 octets] – [20/08/2014 12:29:09]
    AdwCleaner[R2].txt – [1916 octets] – [20/08/2014 12:40:32]
    AdwCleaner[R3].txt – [1982 octets] – [20/08/2014 13:50:24]
    AdwCleaner[R4].txt – [3515 octets] – [01/03/2015 17:29:54]
    AdwCleaner[R5].txt – [1372 octets] – [01/03/2015 18:40:32]
    AdwCleaner[R6].txt – [2339 octets] – [15/03/2015 12:51:21]
    AdwCleaner[R7].txt – [2399 octets] – [15/03/2015 12:54:50]
    AdwCleaner[S0].txt – [22910 octets] – [20/08/2014 12:08:46]
    AdwCleaner[S1].txt – [1857 octets] – [20/08/2014 12:32:35]
    AdwCleaner[S2].txt – [2043 octets] – [20/08/2014 13:54:17]
    AdwCleaner[S3].txt – [3627 octets] – [01/03/2015 17:34:17]
    AdwCleaner[S4].txt – [2338 octets] – [15/03/2015 12:58:03]

    ########## EOF – C:AdwCleanerAdwCleaner[S4].txt – [2398 octets] ##########[/spoiler:3lqs7i8y]

    mbam

    Spoiler for 3lqs7i8y

    Malwarebytes Anti-Malware
    http://www.malwarebytes.org” onclick=”window.open(this.href);return false;

    Date de l'examen: 15/03/2015
    Heure de l'examen: 13:06:07
    Fichier journal: mbam.txt
    Administrateur: Oui

    Version: 2.00.4.1028
    Base de données Malveillants: v2015.03.15.02
    Base de données Rootkits: v2015.02.25.01
    Licence: Gratuit
    Protection contre les malveillants: Désactivé(e)
    Protection contre les sites Web malveillants: Désactivé(e)
    Auto-protection: Désactivé(e)

    Système d'exploitation: Windows 7 Service Pack 1
    Processeur: x64
    Système de fichiers: NTFS
    Utilisateur: fred

    Type d'examen: Examen “Menaces”
    Résultat: Terminé
    Objets analysés: 557866
    Temps écoulé: 38 min, 53 sec

    Mémoire: Activé(e)
    Démarrage: Activé(e)
    Système de fichiers: Activé(e)
    Archives: Activé(e)
    Rootkits: Désactivé(e)
    Heuristique: Activé(e)
    PUP: Activé(e)
    PUM: Activé(e)

    Processus: 0
    (Aucun élément malicieux detecté)

    Modules: 0
    (Aucun élément malicieux detecté)

    Clés du Registre: 0
    (Aucun élément malicieux detecté)

    Valeurs du Registre: 0
    (Aucun élément malicieux detecté)

    Données du Registre: 0
    (Aucun élément malicieux detecté)

    Dossiers: 0
    (Aucun élément malicieux detecté)

    Fichiers: 0
    (Aucun élément malicieux detecté)

    Secteurs physiques: 0
    (Aucun élément malicieux detecté)

    (end)[/spoiler:3lqs7i8y]
    ZHPDiag est là :
    https://antimalware.top/download/zr27t79ga25kh2crj0y98r6afiqwq4zya6b1mbuw” onclick=”window.open(this.href);return false;

    Anonyme
    Nombre d'articles : 0

    Hello :hello:

    Bienvenue sur SosVirus :welcome:

    • Séléctionne et copie le script suivant :

      Script ZHPFix
      O2 - BHO: Java(tm) Plug-In SSV Helper [64Bits] - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} Clé orpheline
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper [64Bits] - {DBC80044-A445-435b-BC74-9C25C1C588A9} Clé orpheline
      O3 - Toolbar: avast! Online Security - [HKLM]{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} . (...) -- (.not file.)
      O3 - Toolbar: (no name) - [HKLM]{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} Clé orpheline
      O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
      [MD5.00000000000000000000000000000000] [APT] [{D6F35084-2732-44CD-BE75-C8752C3C8E3C}] (...) -- F:Guitar pro et Ear MasterE ar m2Earpro5setup.exe (.not file.) [0]
      [MD5.00000000000000000000000000000000] [APT] [Installation App Launcher] (...) -- C:Program Files (x86)Lexmark 2600 Seriesezprint.exe (.not file.) [0]
      [MD5.00000000000000000000000000000000] [APT] [Launch HTC Sync Loader] (...) -- C:Program Files (x86)HTCHTC Sync 3.0htcUPCTLoader.exe (.not file.) [0]
      O43 - CFD: 14/03/2015 - 12:39:30 - [] ----D C:Program Files (x86)Optimizer Pro 3.56 =>PUP.OptimizerPro
      O90 - PUC: "CA3654BE0B5484643BA976FB4B597576" . (.pdfforge Toolbar v9.4.) -- C:WindowsInstaller{EB4563AC-45B0-4648-B39A-67BFB4955767}ARPPRODUCTICON.exe =>PUP.Dealio
      [MD5.B67811645C5A3B8E4E4B1A1DB1EE271C] [WIS][15/10/2012] (.Boxore OU. - Software Update Helper.) -- C:WindowsInstaller781c0.msi [45056] =>Adware.Boxore
      C:Program Files (x86)Software =>Adware.Boxore
      C:UsersfredAppDataLocalSoftware =>Adware.Boxore
      [HKLMSoftwareClassesAppIDsecman.DLL] =>PUP.Babylon
      [HKLMSoftwareMicrosoftWindowsCurrentVersionUninstall{EB4563AC-45B0-4648-B39A-67BFB4955767}] =>PUP.Dealio^
      firewallraz
      emptyclsid
      emptyprefetch
      EmptyCLSID
      Emptytemp
      EmptyFlash
      ShortcutFix
    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur “GO

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Copie le contenu du rapport ZHPFixReport sur Paste And Furious, puis copie/colle le lien généré dans ta prochaine réponse.
      -> Tuto Paste And Furious : tutoriel-paste-and-furious-t104985.html

    [hr:lgrm2n5v]

    • Télécharge OTM de OldTimer sur ton bureau.
    • Double-clique sur OTM.exe pour le lancer.
    • Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
    • Copie la liste ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.

    :files
    C:Program Files (x86)Optimizer Pro 3.56
    C:ProgramData34BE82C4-E596-4e99-A191-52C6199EBF69
    C:ProgramDataNorton
    C:ProgramDataNortonInstaller
    C:ProgramDataMcAfee
    C:ProgramData{9f899032-14df-c69d-9f89-9903214d40c8}
    C:ProgramData{cf128010-c707-7ae9-cf12-28010c700043}
    C:UsersfredAppDataRoamingE6A0BB00-1426332770-815C-3A7A-4C72B93E2744
    C:WindowsInstaller{EB4563AC-45B0-4648-B39A-67BFB4955767}ARPPRODUCTICON.exe
    C:WindowsInstaller781c0.msi
    C:ProgramDataMicrosoftSearchDataApplicationsWindowstmp.edb
    :commands
    [emptytemp]

    • Clique sur “MoveIt!” .
    • Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demanderas de redémarrer l’ordinateur.
    • Si c’est le cas, acceptes en cliquant sur “YES”.
    • Post le rapport dans ta prochaine réponse.
    • Le rapport est situé dans C:_OTMMovedFiles (Le nom du rapport correspond au moment de sa création : date_heure.log).
    pignon
    Participant
    Nombre d'articles : 7

    Merci pour cette super réactivité.
    voila le rapport de ZPHFix :

    https://antimalware.top/download/3g8ar1jibuusxfoe820lmvrcu23hbblgy7iao17v” onclick=”window.open(this.href);return false;

    et OTM

    Spoiler for 1pa7cm35

    All processes killed
    ========== FILES ==========
    File/Folder C:Program Files (x86)Optimizer Pro 3.56 not found.
    C:ProgramData34BE82C4-E596-4e99-A191-52C6199EBF69x64x64 folder moved successfully.
    C:ProgramData34BE82C4-E596-4e99-A191-52C6199EBF69x64 folder moved successfully.
    C:ProgramData34BE82C4-E596-4e99-A191-52C6199EBF69 folder moved successfully.
    C:ProgramDataNorton{086A63F0-6B13-4F29-9695-134E7A01E963} folder moved successfully.
    C:ProgramDataNortonLocalDumps folder moved successfully.
    C:ProgramDataNorton0000082000011a0000582 folder moved successfully.
    C:ProgramDataNorton0000082000011a folder moved successfully.
    C:ProgramDataNorton0000082 folder moved successfully.
    C:ProgramDataNorton folder moved successfully.
    C:ProgramDataNortonInstallerLogs2012-09-15-13h01m35s folder moved successfully.
    C:ProgramDataNortonInstallerLogs2012-04-21-03h07m52s folder moved successfully.
    C:ProgramDataNortonInstallerLogs folder moved successfully.
    C:ProgramDataNortonInstaller folder moved successfully.
    C:ProgramDataMcAfeeMCLOGSPartnerCustomSSScheduler folder moved successfully.
    C:ProgramDataMcAfeeMCLOGSPartnerCustomSecurityScan_Release folder moved successfully.
    C:ProgramDataMcAfeeMCLOGSPartnerCustom folder moved successfully.
    C:ProgramDataMcAfeeMCLOGS folder moved successfully.
    C:ProgramDataMcAfee folder moved successfully.
    C:ProgramData{9f899032-14df-c69d-9f89-9903214d40c8} folder moved successfully.
    C:ProgramData{cf128010-c707-7ae9-cf12-28010c700043} folder moved successfully.
    C:UsersfredAppDataRoamingE6A0BB00-1426332770-815C-3A7A-4C72B93E2744 folder moved successfully.
    C:WindowsInstaller{EB4563AC-45B0-4648-B39A-67BFB4955767}ARPPRODUCTICON.exe moved successfully.
    C:WindowsInstaller781c0.msi moved successfully.
    File move failed. C:ProgramDataMicrosoftSearchDataApplicationsWindowstmp.edb scheduled to be moved on reboot.
    File/Folder :commands not found.
    File/Folder [emptytemp] not found.

    OTM by OldTimer – Version 3.1.21.0 log created on 03152015_201002

    Files moved on Reboot…
    C:ProgramDataMicrosoftSearchDataApplicationsWindowstmp.edb moved successfully.

    Registry entries deleted on Reboot…[/spoiler:1pa7cm35]

    Anonyme
    Nombre d'articles : 0

    ok , toujours l’alerte ?

    pignon
    Participant
    Nombre d'articles : 7

    Non, avast ne voit plus bicololo, c’est formidable.
    Il ne me reste plus qu’un PUP.Dealio que je vois sur ZPHDiag
    https://antimalware.top/download/xxowi6i4oukbap6are8wkmbi288yggvzuesdwdvd” onclick=”window.open(this.href);return false;
    Votre boulot est vraiment bien.

    Anonyme
    Nombre d'articles : 0

    exact , désinstalle pdfforge Toolbar v9.4

    Désinstalle également :

    • Adobe Reader X
    • Java 7 Update 7
    • Java 7 Update 51

    Installe la dernière version de java : https://www.sosvirus.net/telecharger/java/” onclick=”window.open(this.href);return false;
    Installe la dernière version de adobe reader : https://www.sosvirus.net/telecharger/adobe-reader/” onclick=”window.open(this.href);return false;

    Si tu ne peut pas désinstaller cette toolbar (PUP.Dealio) alors :

    • Séléctionne et copie le script suivant :

      Script ZHPFix
      O2 - BHO: Java(tm) Plug-In SSV Helper [64Bits] - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} Clé orpheline
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper [64Bits] - {DBC80044-A445-435b-BC74-9C25C1C588A9} Clé orpheline
      O42 - Logiciel: pdfforge Toolbar v9.4 - (.Spigot, Inc..) [HKLM][64Bits] -- {EB4563AC-45B0-4648-B39A-67BFB4955767} =>PUP.Dealio
      [HKCUSoftwareSymantec]
      [HKLMSoftwareOOBEOffer]
      [HKLMSoftwareWow6432NodeSymantec]
    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur “GO

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Copie le contenu du rapport ZHPFixReport sur Paste And Furious, puis copie/colle le lien généré dans ta prochaine réponse.
      -> Tuto Paste And Furious : tutoriel-paste-and-furious-t104985.html

    [hr:1md0awuk]

    • Pour supprimer les outils de désinfections utilisés :
    • Télécharges Delfix sur ton Bureau.
    • Lance Delfix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche les cases suivantes :
      • Supprimer les outils de désinfection
      • Purger la restauration système

    Bonne soirée :hello:

    [fin2desinf:1md0awuk][/fin2desinf:1md0awuk]

    pignon
    Participant
    Nombre d'articles : 7

    Un grand merci, tout est nickel.
    rapport ZHPFix :
    https://antimalware.top/download/jkv9nnc5zsd51e7z24s847qhwswkr95ml4e5m01h” onclick=”window.open(this.href);return false;
    rapport ZHPDiag après le retrait de pdforge :
    https://antimalware.top/download/zjuwet2vop7omtoj3xw2vzrdw8gimnifb7ue7n08” onclick=”window.open(this.href);return false;
    bonne soirée.

    Anonyme
    Nombre d'articles : 0

    De rien & bonne semaine :hello:

8 sujets de 1 à 8 (sur un total de 8)
  • Vous devez être connecté pour répondre à ce sujet.