supprimer aartemis 2013-11-08T20:51:09+00:00
  • Auteur
    Messages
  • gerard
    Post count: 0

    Bonjour,

    Suite à une erreur de téléchargement, j’ai infecté mon ordinateur avec Aartemis qui s’ouvre en page d’accueil sur firefox et internet explorer.

    Pourriez vous m’aider s’il vous plait?

    Par avance, merci.

    voici les 2 fichiers txt:
    https://antimalware.top/log/SosUpload.000b8025eceebcc57fc71122c616c62d.txt” onclick=”window.open(this.href);return false;
    https://antimalware.top/log/SosUpload.9d14b6959681a957d77d01fce3ce03cf.txt” onclick=”window.open(this.href);return false;

  • Anonyme
    Post count: 0

    Hello :hello: ,

    Bienvenue sur SosVirus :welcome:

    • Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
    • Installe le logiciel.
    • Lance ZHPDiag, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clique sur Configurer
    • Clique sur l’icône avec des jumelles.
    • Colle le(s) mot(s) demandé(s) suivant : aartemis
    • Clique Rechercher

      Note : Ne pas fermer le programme même si il est indiqué qu’il ne répond plus.


    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPSearch.txt à été créé.
    • Héberge le rapport ZHPSearch.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  • gerard
    Post count: 0

    L’ordinateur s’éteint à chaque fois pendant que ZHPSearch recherche… il trouve au moins 5 lignes dans la base de registre mais le pc s’éteint à chaque fois.

    Que faire?

  • Anonyme
    Post count: 0

    Il semble effectivement avoir un soucis avec le logiciel ZhpDiag :(

    On va faire autrement :

    • Télécharge OTL de Old_Timer et enregistre le sur le Bureau
    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    • Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu’adminsitrateur.
    • Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées.
    • Dans le cadre Personnalisation, copie-colle l’intégralité de ce qui suit :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%Application Data*.
    %ALLUSERSPROFILE%Application Data*.exe /s
    %APPDATA%*.
    %APPDATA%*.exe /s
    %temp%*.exe /s
    %SYSTEMDRIVE%*.exe
    %systemroot%*. /mp /s
    %systemroot%system32consrv.dll
    %systemroot%system32*.dll /lockedfiles
    %windir%Tasks*.job /lockedfiles
    %systemroot%system32drivers*.sys /lockedfiles
    %systemroot%System32config*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOTCLSID{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InprocServer32 /s
    HKEY_LOCAL_MACHINESYSTEMSYSTEMCurrentControlSetServiceslanmanserverparameters /s
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems /s
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerAppCertDlls /s
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList /s
    HKEY_LOCAL_MACHINESoftwareMicrosoftCommand Processor /s
    HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor /s
    CREATERESTOREPOINT
    nslookup http://www.google.fr /c
    hklmsoftwareclientsstartmenuinternet|command /rs
    hklmsoftwareclientsstartmenuinternet|command /64 /rs
    CREATERESTOREPOINT
    SAVEMBR:0

    • Clique sur Analyse

    • Une fois le scan terminé 1 ou 2 rapports vont s’ouvrir OTL.txt et Extras.txt.
    • Héberge les rapports OTL.txt et Extras.txt sur cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

      Note : Au cas où, tu peux les retrouver dans le dossier C:OTL ou sur ton bureau en fonction des cas rencontrés

  • gerard
    Post count: 0

    Voilà les 2 rapports comme demandé. Merci encore.

    fichier otl.txt: http://cjoint.com/?3KixPpMnV9t” onclick=”window.open(this.href);return false;
    fichier extras.txt http://cjoint.com/?3KixQOTDpoX” onclick=”window.open(this.href);return false;

  • Anonyme
    Post count: 0
    • Relance OTL.
    • Sous Persfonnalisation (Custom Scan), copie-colle le contenu du cadre ci dessous (bien prendre :OTL en début).

      :OTL
      IE - HKLM..SearchScopes{0CD5A221-11AB-8B40-E822-095CA14FF8F7}: "URL" = http://www.aartemis.com/web/?type=ds&ts=1383850052&from=tugs&uid=395049983_397234_8CF0DB74&q={searchTerms}
      [2013/11/07 19:47:33 | 000,000,546 | ---- | M] () -- C:Program Filesmozilla firefoxsearchpluginsaartemis.xml

      :Commands
      [emptytemp]
      [emptyflash]
      [reboot]

    • Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
    • Redemarre le pc et poste le rapport dans ta prochaine réponse.
    • Le rapport est sauvegardé sous C:_OTLMovedFilesdate_heure.log
  • gerard
    Post count: 0

    voici le rapport:
    All processes killed
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchScopes{0CD5A221-11AB-8B40-E822-095CA14FF8F7} deleted successfully.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{0CD5A221-11AB-8B40-E822-095CA14FF8F7} not found.
    C:Program Filesmozilla firefoxsearchpluginsaartemis.xml moved successfully.
    File ptytemp] not found.
    File ptyflash] not found.
    File boot] not found.

    OTL by OldTimer – Version 3.2.69.0 log created on 11092013_000758

    FilesFolders moved on Reboot…

    PendingFileRenameOperations files…

    Registry entries deleted on Reboot…

  • gerard
    Post count: 0

    Du coup, j’ai ensuite passé adwcleaner et voici le rapport après redémarrage du pc:

    # AdwCleaner v3.011 – Rapport créé le 09/11/2013 à 00:22:08
    # Mis à jour le 03/11/2013 par Xplode
    # Système d’exploitation : Windows Vista (TM) Ultimate Service Pack 2 (32 bits)
    # Nom d’utilisateur : Gérard – PC-DE-GERARD
    # Exécuté depuis : D:GérardDesktopadwcleaner.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    ***** [ Navigateurs ] *****

    -\ Internet Explorer v9.0.8112.16514

    -\ Mozilla Firefox v25.0 (fr)

    -\ Google Chrome v24.0.1312.57

    *************************

    AdwCleaner[R0].txt – [10376 octets] – [08/11/2013 19:39:22]
    AdwCleaner[R1].txt – [868 octets] – [08/11/2013 19:58:35]
    AdwCleaner[R2].txt – [927 octets] – [08/11/2013 20:17:08]
    AdwCleaner[R3].txt – [1043 octets] – [09/11/2013 00:21:02]
    AdwCleaner[S0].txt – [10414 octets] – [08/11/2013 19:44:45]
    AdwCleaner[S1].txt – [987 octets] – [08/11/2013 20:19:05]
    AdwCleaner[S2].txt – [966 octets] – [09/11/2013 00:22:08]

    ########## EOF – D:AdwCleanerAdwCleaner[S2].txt – [1025 octets] ##########

    et ensuite j’ai passé MAM qui n’a rien trouvé.
    Voici le rapport:
    Malwarebytes Anti-Malware 1.75.0.1300
    http://www.malwarebytes.org

    Version de la base de données: v2013.11.08.10

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Gérard :: PC-DE-GERARD [administrateur]

    09/11/2013 00:31:10
    mbam-log-2013-11-09 (00-31-10).txt

    Type d’examen: Examen rapide
    Options d’examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d’examen désactivées: P2P
    Elément(s) analysé(s): 241501
    Temps écoulé: 10 minute(s), 33 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

  • gerard
    Post count: 0

    Même si AdwCleaner et MAM n’ont rien trouvé, le problème continue.
    En ouvrant firefox ou IE, la page d’accueil est toujours sur aartemis! :shocked:

    Bon, je crois que je vais allé dormir.
    Je regarderai demain ce que tu proposes de plus.
    En tous cas, merci d’avoir pris autant de temps pour moi et d’avoir été aussi réactif.;)

  • Photo du profil de H.A.W.XH.A.W.X
    Participant
    Post count: 1704

    Bonsoir,

    Oui cette infection est sortie dans la soirée !

    Alors toujours des soucis avec aartémis ? Avant de répondre fait ceci ;)

    • A ppuies simultanément sur les touches Windows et R
    • Une fenêtre va s’ouvrir, tape ceci : notepad
    • Clic sur OK

      Note : Le bloc note va s’ouvrir

    • Copie les lignes suivantes :
      start
      StartMenuInternet: IEXPLORE.EXE - C:Program FilesInternet Exploreriexplore.exe http://aartemis.com/?type=sc&ts=1383850052&from=tugs&uid=395049983_397234_8CF0DB74
      SearchScopes: HKLM - DefaultScope value is missing.
      SearchScopes: HKLM - {0CD5A221-11AB-8B40-E822-095CA14FF8F7} URL = http://www.aartemis.com/web/?type=ds&ts=1383850052&from=tugs&uid=395049983_397234_8CF0DB74&q={searchTerms}
      FF SearchPlugin: C:Program Filesmozilla firefoxsearchpluginsaartemis.xml
      FF StartMenuInternet: FIREFOX.EXE - C:Program FilesMozilla Firefoxfirefox.exe http://aartemis.com/?type=sc&ts=1383850052&from=tugs&uid=395049983_397234_8CF0DB74
      CHR StartMenuInternet: Google Chrome - C:Program FilesGoogleChromeApplicationchrome.exe http://aartemis.com/?type=sc&ts=1383850052&from=tugs&uid=395049983_397234_8CF0DB74
      CHR HKLMSOFTWAREPoliciesGoogle: Policy restriction <======= ATTENTION
      CHR Extension: (Extended Protection) - D:GRARD~1AppDataLocalGoogleChromeUser DataDefaultExtensionscekcjpgehmohobmdiikfnopibipmgnml1.3_0

      end

    • Retourne dans le bloc note puis colle les lignes copiées.
    • Clic sur Fichier, puis Enregistrer sous …, nomme le fixlist.txt et enregistre le sur ton bureau !
    • Rends toi sur le bureau, Lance FRST, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clic sur Fix

      Note : Patiente le temps de la suppression

    • Une fois le scan terminé rends toi sur le bureau, deux rapports Fixlog.txt a été créé.
    • Héberge le rapport Fixlog.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse

    Ensuite dis moi :)

  • gerard
    Post count: 0

    Bonjour,

    J’ai bien suivi et fait ce que tu as dit.
    Voici le rapport:

    https://antimalware.top/log/SosUpload.392d84681db29193982f2bc22823968f.txt” onclick=”window.open(this.href);return false;

    Pour info, le problème est toujours là ;)

  • Anonyme
    Post count: 0

    Pour info, le problème est toujours là ;)

    fais ce qui suit, redémarre ensuite le PC et dis moi si le soucis est toujours présent en même temps :)

    • Télécharge Shortcut_Module (de g3n-h@ckm@n) sur ton bureau.
    • Lance Shortcut_Module, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      Note : Patiente le temps du scan

    • Copie et colle le rapport qui va s’ouvrir sur le forum.
  • gerard
    Post count: 0

    Voilà le rapport:

    ¤¤¤¤¤¤¤¤¤¤ | Shortcut_Module 27.09.2013 – g3n-h@ckm@n

    19:57:08 – 09/11/2013

  • gerard
    Post count: 0

    J’ai passé Shortcut_Module ce qui m’a donné le rapport au dessus.
    Ensuite j’ai redémarré et j’ai toujours le problème. :beaten:

  • Anonyme
    Post count: 0

    Ouais j’imagine :(

    • Lance ZHPDiag, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

    • Clique sur Configurer
    • Clique sur l’icône représentant une loupe avec un + (« Lancer le diagnostic »)

      Note : Ne pas fermer le programme même si il est indiqué qu’il ne répond plus.

    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt à été créé.
    • Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  • gerard
    Post count: 0

    Voici le rapport. Merci beaucoup.

    https://antimalware.top/log/SosUpload.3c3e27db8a06903cf38ef2a3c35a8f3d.txt” onclick=”window.open(this.href);return false;

  • Anonyme
    Post count: 0
    • Séléctionne et copie le script suivant :

      Script ZHPFix
      [HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem] EnableLUA: Modified
      O4 - GSDesktop [Public]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:Program FilesMozilla Firefoxfirefox.exe http://aartemis.com =>Hijacker.Browsers
      O4 - GSProgram [Public]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:Program FilesMozilla Firefoxfirefox.exe http://aartemis.com =>Hijacker.Browsers
      D:GérardDownloadsJava7.exe
      D:GérardDownloadsFlvPlayerSetup(1).exe
      D:GérardDownloadsFlvPlayerSetup(2).exe
      D:GérardDownloadsHOSTS_Install_V2.exe
      [HKCUSoftwareQUAD Utilities]
      [HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionExtPreApproved{11111111-1111-1111-1111-110311121157}]
      C:Program FilesRegistry Winner
      D:GérardAppDataRoamingQUAD Utilities
      O87 - FAEL: "TCP Query User{F7DDCA85-4E4D-477E-8CE5-3D31A2954C07}E:fscommandupdater.exe" |In - Public - P6 - TRUE | .(...) -- E:fscommandupdater.exe (.not file.)
      O87 - FAEL: "UDP Query User{F5DA47F7-6FF5-438A-8E82-400A1B69E56D}E:fscommandupdater.exe" |In - Public - P17 - TRUE | .(...) -- E:fscommandupdater.exe (.not file.)
      EmptyCLSID
      Emptytemp
      EmptyFlash
    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur “GO

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.
  • gerard
    Post count: 0

    Merci ;)
    Voici le rapport:
    https://antimalware.top/log/SosUpload.68e9cca5c7f95c1686469c147933c3cf.txt” onclick=”window.open(this.href);return false;

    Pour info, c’est réglé sur firefox :bravo1:
    mais pas sur internet explorer.

  • Anonyme
    Post count: 0

    mais pas sur internet explorer.

    Il doit rester une clé de registre quelque part :faché15: ^^

    • Télécharge SEAF (de C_XX) sur ton bureau !
    • Lance SEAF, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Dans la barre de recherche tape ou copie colle : aartemis
    • Coche la case “Informations supplémentaires (…)
    • Sélectionne “Chercher également dans le registre
    • Sélectionne MD5

    • Une fois le scan terminé rends-toi sur le bureau, un rapport va s’ouvrir, copie/colle son contenu dans ta réponse
  • gerard
    Post count: 0

    Voici le rapport:

    1. ========================= SEAF 1.0.1.0 – C_XX
    2.
    3. Commencé à: 22:20:40 le 09/11/2013
    4.
    5. Valeur(s) recherchée(s):
    6. aartemis
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) — Calcul du Hash “MD5”
    11. (!) — Informations supplémentaires
    12. (!) — Recherche registre
    13.
    14. ====== Fichier(s) ======
    15.
    16.
    17. “D:_OTLMovedFiles11092013_000758C_Program Filesmozilla firefoxsearchpluginsaartemis.xml” [ ARCHIVE | 546 o ]
    18. TC: 07/11/2013,19:47:33 | TM: 07/11/2013,19:47:33 | DA: 09/11/2013,00:08:00
    19.
    20. Hash MD5: CD257A52E1B43A2C5B53342014BEA3DB
    21.
    22.
    23. =========================
    24.
    25.
    26.
    27. ====== Entrée(s) du registre ======
    28.
    29. Aucun élément dans le registre trouvé
    30.
    31. =========================
    32.
    33. Fin à: 22:29:59 le 09/11/2013
    34. 621612 Éléments analysés
    35.
    36. =========================
    37. E.O.F

  • Photo du profil de H.A.W.XH.A.W.X
    Participant
    Post count: 1704

    Bonsoir :)

    Rien dans le rapport qui indique une clé de registre infectieuse, donc pour moi je ne vois qu’une seule chose ;)

    Tu lance Internet Explorer depuis un raccourcis ?

    • Clic droit sur ce raccourcis
    • Clic sur Propriétés
    • Vérifie qu’il n’y ai pas un argument (voir l’image ci dessous)

    Dis nous ce qu’il en ai par la suite :)

  • gerard
    Post count: 0

    Bonsoir,

    :bravo1: :alcool:

    Vous êtes des stars!

    En effet, dans la barre de lancement rapide ainsi que dans les raccourcis du menu démarrer, il y avait bien le paramètre aartémis placé comme sur l’image.

    UN ENORME MERCI à toute l’équipe. :super:

  • Photo du profil de H.A.W.XH.A.W.X
    Participant
    Post count: 1704

    Bonsoir,

    C’est Parfait ! :D

    Dernière étape pour enlever d’un coup tout ses outils :

    • Télécharges Delfix sur ton Bureau.
    • Lance Delfix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche la case suivantes :
      • Supprimer les outils de désinfection

    Si tu le souhaites tu peux aimer notre page facebook pour nous faire connaitre, parler de nous autour de toi et ou faire un don (rien n’est obligé :) )

    Enfin pour finir voici quelques recommandations :)

    [fin2desinf:2i8sn5b5][/fin2desinf:2i8sn5b5]

Le sujet ‘supprimer aartemis’ est fermé à de nouvelles réponses.