Security-X

Forum Security-X => Désinfections => Discussion démarrée par: tomgska29 le juillet 20, 2012, 11:50:10

Titre: comment être pris en charge pour se débarrasser de promo vador [Résolu]
Posté par: tomgska29 le juillet 20, 2012, 11:50:10
Bonjour,
lorsque je me connecte à internet avec explorer, il arrive (1 fois sur deux) qu'une fenêtre Promo vador s'ouvre et s'ouvre de nouveau lorsque je la ferme.
Après avoir lu des échanges sur ce site, j'ai installé OTL, puis ai analysé mon PC. j'ai obtenu un rapport que j'ai déposé sur ce site, et j'ai un lien.
que dois-je faire à présent?

Merci pour votre aide.
Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: chantal11 le juillet 20, 2012, 11:52:50
Bonjour,

Tu as hébergé ton rapport sur pjjoint ?

Tu indiques le lien fourni dans ta prochaine réponse.

Aide en images : Héberger son rapport d'analyse (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)

Il faut donc le rapport OTL.txt et le rapport Extras.txt, tu as donc 2 liens à fournir.

@+
Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: tomgska29 le juillet 20, 2012, 12:55:21
Voilà le liens.
http://pjjoint.malekal.com/files.php?id=20120720_i9e915n13z8

à bientôt.
Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: tomgska29 le juillet 20, 2012, 12:58:18
Mince, je n'ai pas le rapport extrat.txt.
je recommence tout depuis le début.
Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: chantal11 le juillet 20, 2012, 13:08:29
Ren

Le rapport Extras ne se génère que lors de la 1ère analyse.
Regarde bien, il devrait être enregistré sur ton Bureau.
Si tu ne le vois pas, passe par l'explorateur et clique sur Bureau pour visualiser tous les fichiers.

@+
Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: tomgska29 le juillet 20, 2012, 13:18:06
Ok, je crois que j'ai bon.
Voilà le lien vers le fichier extras: http://pjjoint.malekal.com/files.php?id=20120720_s8d10w6g8z7
et le iens vers le fichier OLT: http://pjjoint.malekal.com/files.php?id=20120720_i9e915n13z8

Et voilà.
Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: chantal11 le juillet 20, 2012, 14:46:27
Re,

Il faut être vigilant sur ce que tu valides au moment de l'installation d'un logiciel gratuit et ne pas valider tout ce qui est proposé avec.
Un peu de lecture sur cet Adware Boxore (http://forum.security-x.fr/malwares-315/adware-boxore-5086/msg69802/#new)
Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)   Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

Les toolbars c'est pas obligatoire! (http://forum.malekal.com/les-toolbars-est-pas-obligatoire-t6173.html)

----------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  OTL :

:OTL
SRV - [2012/07/16 21:15:44 | 000,140,080 | ---- | M] (Boxore OU.) [Auto | Stopped] -- C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe -- (supdate) Software Update Service (supdate)
SRV - [2012/05/06 17:43:46 | 000,069,120 | ---- | M] (BOONTY) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\BOONTY Shared\Service\Boonty.exe -- (Boonty Games)
IE - HKLM\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - C:\Program Files (x86)\uTorrentBar_FR\prxtbuTo0.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801939
IE - HKU\S-1-5-21-1472571968-2951871112-3079759635-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2851639
IE - HKU\S-1-5-21-1472571968-2951871112-3079759635-1000\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - C:\Program Files (x86)\uTorrentBar_FR\prxtbuTo0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-1472571968-2951871112-3079759635-1000\..\URLSearchHook: {9e96c0cd-a901-4032-9236-0e4a264aeee4} - No CLSID value found
IE - HKU\S-1-5-21-1472571968-2951871112-3079759635-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=18173
IE - HKU\S-1-5-21-1472571968-2951871112-3079759635-1000\..\SearchScopes\{10B4E706-0FB5-43BE-88B2-C3CC5CCFECC8}: "URL" = http://search.surfcanyon.com/search?f=sb&q={searchTerms}
IE - HKU\S-1-5-21-1472571968-2951871112-3079759635-1000\..\SearchScopes\{A2522DC4-49EE-4513-95C6-6029B390DF72}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ARS&o=15084&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=AG&apn_dtid=YYYYYYYYFR&apn_uid=66314F6A-4115-4C3A-AD85-03D97E4BC3BF&apn_sauid=6F2E7391-A3FE-4E49-95CE-02A8809D1554
IE - HKU\S-1-5-21-1472571968-2951871112-3079759635-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801939
IE - HKU\S-1-5-21-1472571968-2951871112-3079759635-1003\..\SearchScopes\{96C6B5E7-9365-40C6-976E-F57C5C6EEAA1}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ARS&o=15084&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=AG&apn_dtid=YYYYYYYYFR&apn_uid=66314F6A-4115-4C3A-AD85-03D97E4BC3BF&apn_sauid=6F2E7391-A3FE-4E49-95CE-02A8809D1554
FF - HKLM\Software\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8: C:\Program Files (x86)\Software\Update\1.2.199.0\npSoftwareOneClick8.dll (Boxore OU.)
[2011/12/09 23:21:38 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Users\michel\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
CHR - Extension: Iminent = C:\Users\michel\AppData\Local\Google\Chrome\User Data\Default\Extensions\igdhbblpcellaljokkpfhcjlagemhgjl\5.14.1.0_0\
CHR - Extension: uTorrentBar_FR = C:\Users\michel\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib\2.3.7.1_0\
O2 - BHO: (uTorrentBar_FR Toolbar) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - C:\Program Files (x86)\uTorrentBar_FR\prxtbuTo0.dll (Conduit Ltd.)
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (uTorrentBar_FR Toolbar) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - C:\Program Files (x86)\uTorrentBar_FR\prxtbuTo0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1472571968-2951871112-3079759635-1000\..\Toolbar\WebBrowser: (uTorrentBar_FR Toolbar) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - C:\Program Files (x86)\uTorrentBar_FR\prxtbuTo0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1472571968-2951871112-3079759635-1003\..\Toolbar\WebBrowser: (uTorrentBar_FR Toolbar) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - C:\Program Files (x86)\uTorrentBar_FR\prxtbuTo0.dll (Conduit Ltd.)
O4 - HKLM..\Run: [Boxore Client] C:\Program Files (x86)\Boxore\BoxoreClient\boxore.exe (Boxore OU)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2012/07/15 15:05:32 | 000,000,000 | ---D | C] -- C:\Users\michel\AppData\Local\{73AF11BE-DB4D-4290-9F51-460F5C75450A}
[2012/07/15 15:05:14 | 000,000,000 | ---D | C] -- C:\Users\michel\AppData\Local\{39A1E005-58A5-4820-A3DE-E8B5126A718C}
[2012/07/12 15:54:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Boxore
[2012/07/12 15:53:45 | 000,000,000 | ---D | C] -- C:\Users\michel\AppData\Local\Software
[2012/07/12 15:53:45 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Software
[2012/07/04 18:17:28 | 000,000,000 | ---D | C] -- C:\Users\michel\AppData\Local\{39F6D3C9-4088-431D-A471-98010F0BCDCF}
[2012/07/04 18:17:15 | 000,000,000 | ---D | C] -- C:\Users\michel\AppData\Local\{DDFD356B-E83C-4824-A8F5-6B515EC62B6F}
[2012/06/25 20:55:28 | 000,000,000 | ---D | C] -- C:\Users\michel\AppData\Local\{2062A643-C6EE-420B-87DD-A8F5CAECDBDA}
[2012/06/25 20:55:06 | 000,000,000 | ---D | C] -- C:\Users\michel\AppData\Local\{3943DF61-8833-4B50-BA84-6AC5E4A8652D}
[2012/06/23 17:05:21 | 000,000,000 | ---D | C] -- C:\Users\michel\AppData\Local\{79B553B3-C100-46E9-B98C-73E1F57F0E17}
[2012/06/23 17:05:11 | 000,000,000 | ---D | C] -- C:\Users\michel\AppData\Local\{25674928-A435-4518-B9CD-3DCD4BFEBE27}
[2012/06/21 10:51:17 | 000,000,000 | ---D | C] -- C:\Users\michel\AppData\Local\{2E3D731D-9BA5-4E10-95AF-A2642C568266}
[2012/06/21 10:51:06 | 000,000,000 | ---D | C] -- C:\Users\michel\AppData\Local\{AA0153E5-49E1-45C6-BE6E-477F5720A840}
[2 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2012/07/20 09:27:00 | 000,001,082 | ---- | M] () -- C:\Windows\tasks\SoftwareUpdateTaskMachineCore.job
[2012/07/17 08:20:00 | 000,001,086 | ---- | M] () -- C:\Windows\tasks\SoftwareUpdateTaskMachineUA.job
[2012/04/28 15:32:40 | 000,000,000 | ---D | M] -- C:\Users\michel\AppData\Roaming\Babylon

:files
ipconfig /flushdns /c

:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  AdwCleaner - Suppression :

Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Malwarebyte's Anti-Malware :

----------------------------------------------------------------------------------------------

Sont attendus les rapports :
@+

Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: tomgska29 le juillet 20, 2012, 21:34:36
Slt, j'ai mis le fichier xxxxxxxx.log à l'adresse suivante:
http://pjjoint.malekal.com/files.php?id=20120720_i7c8c7l13m8

Je continue avec Malware bytes
Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: tomgska29 le juillet 20, 2012, 21:45:57
j'avais sauté l'utilisation ADW Cleaner. Le rapport se trouve là:
http://pjjoint.malekal.com/files.php?id=20120720_l5b1512w9k8

j'y retourne...
Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: chantal11 le juillet 20, 2012, 22:04:05
Re,

OK, plus que Malwarebytes.
Mais déjà ton PC doit se sentir mieux  ;)
Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: tomgska29 le juillet 20, 2012, 23:59:16
ça y est, j'ai fini, voilà le rapport de malewarebytes:
Malwarebytes Anti-Malware (Essai) 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.20.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
michel :: ANONYME-PC [administrateur]

Protection: Activé

20/07/2012 21:55:59
mbam-log-2012-07-20 (21-55-59).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 605992
Temps écoulé: 1 heure(s), 32 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\michel\Downloads\AVS\AVS\avs4you.all.products.activator.2011.(v1.0)-mpt\avs4you.all.products.activator.2011.(v1.0)-mpt.exe (PUP.Hacktool.Patcher) -> Mis en quarantaine et supprimé avec succès.

(fin)


J'ai supprimé le fichier qui était en quarantaine.
En effet, mon PC est un peu plus rapide maintenant.

Je te remercie pour ton aide.

Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: chantal11 le juillet 21, 2012, 08:15:07
Bonjour,

C'est parfait  :D
Un bon nettoyage !

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Désinstalle Java(TM) 6 Update 22 et Java(TM) 6 Update 23 via Panneau de configuration -> Programmes et fonctionnalités.

Installe la dernière version Java 7 Update 5
http://www.java.com/fr/download/

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  SX Check&Update :

---------------------------------------------------------------------------------------------

Est attendu le rapport SX Check&Update.

On pourra ensuite finaliser la procédure.

@+
Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: tomgska29 le juillet 21, 2012, 15:05:14
Bonjour,
voilà le rapport de SXCU:
http://pjjoint.malekal.com/files.php?id=20120721_s5v14r14j13t11

à bientôt.
Titre: Re : comment être pris en charge pour se débarrasser de promo vador
Posté par: chantal11 le juillet 21, 2012, 16:29:20
Re,

C'est parfait  :NNN

Nous allons pouvoir finaliser la procédure.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Purge points de restauration :

:Commands
[CLEARALLRESTOREPOINTS]
[EMPTYTEMP]
---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Quelques précisions et conseils :


Pourquoi et comment je me fais infecter ? (http://forum.malekal.com/pourquoi-et-comment-je-me-fais-infecter-t3259.html)

/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.

/!\ Bien lire les accords de licence (http://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/msg53123/#msg53123) avant toute installlation, des études ont montré que La France est championne du monde de malwares ! (http://www.zebulon.fr/actualites/8054-france-championne-monde-malwares.html)

/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)

/!\ Sauvegarder régulièrement les données personnelles sur un support externe

/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu


Les dangers du Peer-To-Peer, Emule etc.. (http://forum.malekal.com/les-dangers-peer-peer-emule-etc-t3208.html)
Pourquoi éviter le P2P ? Point législatif & dangers (http://forum.malekal.com/pourquoi-eviter-p2p-point-legislatif-dangers-t3257.html)

[/list]

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)
Titre: Re : comment être pris en charge pour se débarrasser de promo vador [Résolu]
Posté par: tomgska29 le juillet 21, 2012, 18:46:02
Ok, j'ai fini de ranger le bureau.
c'est domage, car j'aimais bien Utorrent, on pouvait trouver des "vieilleries".
Je te remercie pour ton aide.
je vais visiter le reste du site, en espérant de ne pas avoir à y revenir pour un déverminage.

Encore merci


c'est vrai, mon profil marche mieux.
Titre: Re : comment être pris en charge pour se débarrasser de promo vador [Résolu]
Posté par: chantal11 le juillet 21, 2012, 19:18:59
Bonne continuation  :AAC