Malware iLivid et SearchQU

[invite32bb90e8]

Bonjour a tous,

Je viens demander un peu d'aide ici

Ma femme a installe par inadvertance un malware qui s'appelle iLivid, dont le symptome visible est une barre SearchQU dans Firefox.
Cela est arrive en voulant telecharger les dernieres photos du reveillon, elle a installe ceci :
[URL="hXXp://www.ilivid.com/lp/download_manager.php?appid=150 &j.[/URL]

Les antivirus McAfee et Avast n'ont rien trouve
Par contre AdAware a trouve et nettoye qqchose en rapport avec iLivid mais ca n'a pas desinstalle la barre dans Firefox

Est-ce quelqu'un connait cette bestiole, et sait comment s'en debarrasser ?

Thanks

Marc, un ancien du forum

PS : desole pour les accents, je suis aux USA
-----

[hackinginterdit]

Salut l'ancien du forum!

Les antivirus McAfee et Avast n'ont rien trouve

J'espère que tu n'as qu'un seul antivirus autrement il faut en supprimer un!

Bon on va regarder ça ensemble

TOUS LES UTILITAIRES doivent être lancés depuis le Bureau (sauf indication spécifique). Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer (tout de suite après par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller".
Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau.

Désactive ton antivirus

Télécharge OTL sur ton Bureau.

• Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
• Double-clique sur OTL.exe pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
• L'écran principal de OTL s'affiche:

(1) Si ce n'est déjà fait, dans le paragraphe Registre: Approfondi, cocher le bouton-radio Avec liste blanche

(2) Coche (en haut) la case située devant Tous les utilisateurs

(3) Coche également les cases à côté de Recherche Lop et Recherche purity

(4) Sélectionne très précisément tout ce qui est en gras avec la souris et copie/colle le contenu dans la zone Personnalisation de la fenêtre OTL


netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
%systemroot%\System32\config\* .sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\ *.sys /lockedfiles
%systemroot%\system32\*.dll /lockedfiles
HKEY_LOCAL_MACHINE\SOFTWARE\Po licies\Microsoft\Windows\Windo wsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \WindowsUpdate\Auto Update\Results\Install|LastSuc cessTime /rs
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
iexplore.exe
/md5stop

(5) Puis cliquer sur le bouton Analyse

- Laisser l'outil travailler sans l'interrompre.

Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Colle les rapports dans ta réponse en pièces-jointes.

[invite32bb90e8]

Merci pour la reponse rapide, voici les logs :

OTL.Txt
Extras.Txt

C'est grave docteur ?

Sinon, avez-vous entendu parler de ce malware ?

Marc

[hackinginterdit]

Bonjour

Sinon, avez-vous entendu parler de ce malware ?

Oui bien sur Tu as installé volontairement des adwares (logiciels et sponsors publicitaires) car tu n'as pas lu les conditions d'utilisation à l'installation de certains logiciels "gratuit"

Il faudra mettre a jour Java

Très important A LIRE Mais surtout a faire

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash ==> http://forum.malekal.com/logiciels-p...ur-t15960.html


Fais ce qui suit

• Sur cette page AdwCleaner de Xplode , clique sur Télécharger et enregistre le fichier sur ton Bureau
  
• Ferme toutes les applications, y compris ton navigateur
  
• Relance AdwCleaner par un double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner[S].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner[S].txt

[A voir en vidéo sur Futura]

[invite32bb90e8]

Hello,

Voici le log :

AdwCleaner[R1].txt

J'ai seulement scanne. Dois-je proceder au "Delete" ?

Marc

[invite32bb90e8]

Hello,

Voici le log :

Pièce jointe 168898

J'ai seulement scanne. Dois-je proceder au "Delete" ?

Marc

# AdwCleaner v1.404 - Logfile created 01/04/2012 at 21:43:30
# Updated 04/01/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : nono - NONO-PC (Administrator)
# Running from : C:\Users\nono\Desktop\adwclean er.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\nono\AppData\LocalLow \searchquband

***** [Registry] *****

Key Found : HKCU\Software\DataMngr
Key Found : HKCU\Software\ilivid
Key Found : HKCU\Software\AppDataLow\Softw are\searchqutoolbar
Key Found : HKLM\SOFTWARE\Classes\SearchQU IEHelper.DNSGuard
Key Found : HKLM\SOFTWARE\Classes\SearchQU IEHelper.DNSGuard.1
Key Found : HKLM\SOFTWARE\Classes\CLSID\{F EFD3AF5-A346-4451-AA23-A3AD54915515}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{C C1AC828-BB47-4361-AFB5-96EEE259DD87}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{A 40DC6C5-79D0-4ca8-A185-8FF989AF1115}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{9 9079a25-328f-4bd4-be04-00955acaa0a7}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\ {841D5A49-E48D-413C-9C28-EB3D9081D705}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\ {6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\ {5B4144E1-B61D-495A-9A50-CD1A95D86D15}
Key Found : HKCU\Software\Microsoft\Intern et Explorer\SearchScopes\{9BB47C1 7-9C68-4BB3-B188-DD9AF0FD2406}
Key Found : HKLM\SOFTWARE\Microsoft\Intern et Explorer\SearchScopes\{9BB47C1 7-9C68-4BB3-B188-DD9AF0FD2406}
Key Found : HKCU\Software\Microsoft\Window s\CurrentVersion\Ext\Stats\{99 079a25-328f-4bd4-be04-00955acaa0a7}
Key Found : HKCU\Software\Microsoft\Window s\CurrentVersion\Ext\Settings\ {99079A25-328F-4BD4-BE04-00955ACAA0A7}
Key Found : HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Explorer\Brow ser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}
Key Found : HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Uninstall\con duitEngine
Value Found : HKLM\SOFTWARE\Microsoft\Intern et Explorer\Toolbar [{99079a25-328f-4bd4-be04-00955acaa0a7}]

***** [Registry (x64)] *****

Key Found : HKCU\Software\DataMngr
Key Found : HKCU\Software\ilivid
Key Found : HKCU\Software\AppDataLow\Softw are\searchqutoolbar
Key Found : HKLM\SOFTWARE\DataMngr
Key Found : HKLM\SOFTWARE\Classes\SearchQU IEHelper.DNSGuard
Key Found : HKLM\SOFTWARE\Classes\SearchQU IEHelper.DNSGuard.1
Key Found : HKLM\SOFTWARE\Classes\CLSID\{C C1AC828-BB47-4361-AFB5-96EEE259DD87}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{A 40DC6C5-79D0-4ca8-A185-8FF989AF1115}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\ {841D5A49-E48D-413C-9C28-EB3D9081D705}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\ {6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\ {5B4144E1-B61D-495A-9A50-CD1A95D86D15}
Key Found : HKCU\Software\Microsoft\Intern et Explorer\SearchScopes\{9BB47C1 7-9C68-4BB3-B188-DD9AF0FD2406}
Key Found : HKLM\SOFTWARE\Microsoft\Intern et Explorer\SearchScopes\{9BB47C1 7-9C68-4BB3-B188-DD9AF0FD2406}
Key Found : HKCU\Software\Microsoft\Window s\CurrentVersion\Ext\Stats\{99 079a25-328f-4bd4-be04-00955acaa0a7}
Key Found : HKCU\Software\Microsoft\Window s\CurrentVersion\Ext\Settings\ {99079A25-328F-4BD4-BE04-00955ACAA0A7}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v9.0.1 (fr)

Profile : 12azv3dc.default
File : C:\Users\nono\AppData\Roaming\ Mozilla\Firefox\Profiles\12azv 3dc.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [3520 octets] - [04/01/2012 21:43:30]

########## EOF - C:\AdwCleaner[R1].txt - [3648 octets] ##########

[hackinginterdit]

Bonjour,

Oui bien sur passe l'option suppression comme je te l'avais demandé .......Et tu postes le rapport

Ensuite

Double clique sur OTL.exe et clique sur le bouton purge outils
Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Le PC va redémarrer pour supprimer l'outil et sa quarantaine.

[invite32bb90e8]

Alors voici le rapport de AdwCleaner apres la suppression :

AdwCleaner[S1].txt

# AdwCleaner v1.404 - Logfile created 01/05/2012 at 07:38:48
# Updated 04/01/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : nono - NONO-PC (Administrator)
# Running from : C:\Users\nono\Desktop\adwclean er.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Users\nono\AppData\LocalLow \searchquband

***** [Registry] *****

Key Deleted : HKCU\Software\DataMngr
Key Deleted : HKCU\Software\ilivid
Key Deleted : HKCU\Software\AppDataLow\Softw are\searchqutoolbar
Key Deleted : HKLM\SOFTWARE\Classes\SearchQU IEHelper.DNSGuard
Key Deleted : HKLM\SOFTWARE\Classes\SearchQU IEHelper.DNSGuard.1
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{F EFD3AF5-A346-4451-AA23-A3AD54915515}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{C C1AC828-BB47-4361-AFB5-96EEE259DD87}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{A 40DC6C5-79D0-4ca8-A185-8FF989AF1115}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{9 9079a25-328f-4bd4-be04-00955acaa0a7}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\ {841D5A49-E48D-413C-9C28-EB3D9081D705}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\ {6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\ {5B4144E1-B61D-495A-9A50-CD1A95D86D15}
Key Deleted : HKCU\Software\Microsoft\Intern et Explorer\SearchScopes\{9BB47C1 7-9C68-4BB3-B188-DD9AF0FD2406}
Key Deleted : HKLM\SOFTWARE\Microsoft\Intern et Explorer\SearchScopes\{9BB47C1 7-9C68-4BB3-B188-DD9AF0FD2406}
Key Deleted : HKCU\Software\Microsoft\Window s\CurrentVersion\Ext\Stats\{99 079a25-328f-4bd4-be04-00955acaa0a7}
Key Deleted : HKCU\Software\Microsoft\Window s\CurrentVersion\Ext\Settings\ {99079A25-328F-4BD4-BE04-00955ACAA0A7}
Key Deleted : HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Explorer\Brow ser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}
Key Deleted : HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Uninstall\con duitEngine
Value Deleted : HKLM\SOFTWARE\Microsoft\Intern et Explorer\Toolbar [{99079a25-328f-4bd4-be04-00955acaa0a7}]

***** [Registry (x64)] *****

Key Deleted : HKLM\SOFTWARE\DataMngr
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{C C1AC828-BB47-4361-AFB5-96EEE259DD87}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{A 40DC6C5-79D0-4ca8-A185-8FF989AF1115}
Key Deleted : HKLM\SOFTWARE\Microsoft\Intern et Explorer\SearchScopes\{9BB47C1 7-9C68-4BB3-B188-DD9AF0FD2406}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v9.0.1 (fr)

Profile : 12azv3dc.default
File : C:\Users\nono\AppData\Roaming\ Mozilla\Firefox\Profiles\12azv 3dc.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [3619 octets] - [04/01/2012 21:43:30]
AdwCleaner[R2].txt - [3679 octets] - [05/01/2012 07:38:42]
AdwCleaner[S1].txt - [2835 octets] - [05/01/2012 07:38:48]

*************************

Temporary folder : : 9 folder(s) and 12 file(s) deleted

########## EOF - C:\AdwCleaner[S1].txt - [3052 octets] ##########

[invite32bb90e8]

Et voila, OTL a ete purge et le PC redemarre

Je peux dormir sur mes deux oreilles ?

Merci

[hackinginterdit]

Hello Marc

Je peux dormir sur mes deux oreilles ?

Oui Pratiquement §

Je fais une petite vérif si tu veux bien!

Si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

• Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  Une fois l'installation et la mise à jour effectuées :
  
• Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen rapide"
• Afin de lancer la recherche, clic sur " Rechercher ".
• Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
• Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
• Si des infections sont présentes, clic sur "Afficher les résultats"
  puis sur "Supprimer la sélection".
  
  Enregistre le rapport sur ton Bureau.
• Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.



Télécharge OTL sur ton Bureau.

Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
Coche également les cases à côté de Recherche Lop et Recherche Purity.
Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.

[invite32bb90e8]

Et hop :

OTL.txt :
http://pjjoint.malekal.com/files.php...14k10b14j15h14

Extra.txt :
http://pjjoint.malekal.com/files.php...06_k138o13z7r7

Thanks

Marc

[invite32bb90e8]

hackinginterdit,

j'ai ouvert un second fil sur un sujet lie a cette infection iLivid. Pour info, voici le lien :
http://forums.futura-sciences.com/in...ml#post3855744

A+

Marc

[hackinginterdit]

Bonjour Marc,

j'ai ouvert un second fil sur un sujet lie a cette infection iLivid.

En ce qui concerne l' (Adware.Bandoo) a ma connaissance n'installe pas de proxy Regarde ici : http://forum.malekal.com/whitesmoke-...er-t30220.html

Je te suggère de:
- Désinstaller "Ad-Aware" et "Spybot - Search & Destroy" pour gain de ressources et d'espace disque. Ils sont obsolètes tous les deux.
Désactiver TeaTimer de spybot qui ne sert à rien et peut faire échouer une désinfection:!
Affiche d'abord le Mode Avancé dans Spybot
Options Avancées :
menu Mode
-Mode Avancé. Une colonne de menus apparaît dans la partie gauche :
clique sur Outils
clique sur Résident
-Dans Résident :
décoche Résident "TeaTimer" pour le désactiver.

Si dans Spybot S&D tu as vacciné
Sur l'onglet "vaccination"
Clique sur "Vaccination" dans la colonne sur la gauche :
Clique sur annuler (la flèche bleue) pour annuler la vaccination.


Désactive ton antivirus

Relance OTL.exe.

Fais un double clic sur l'icône pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Sélectionne très précisément tout ce qui est dans le cadre ci dessous , avec la souris et copie le contenu dans la zone "Personnalisation" de la fenêtre OTL

RAS
:OTL
FF:64bit: - HKLM\Software\MozillaPlugins\@ adobe.com/FlashPlayer: C:\Windows\system32\Macromed\F lash\NPSWF64_11_1_102.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@ microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@ microsoft.com/GENUINE: disabled File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O18:64bit: - Protocol\Handler\cozi - No CLSID value found
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18:64bit: - Protocol\Handler\skype-ie-addon-data - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O33 - MountPoints2\{3e204dac-2f32-11e1-8980-88532e42c72c}\Shell - %µ£%µ£ = AutoRun

:Files
C:\Users\nono\AppData\Local\Il ivid Player
ipconfig /flushdns /c
C:\WINDOWS\System32\*.tmp
C:\WINDOWS\*.tmp

:Commands
[emptytemp]
[CREATERESTOREPOINT]

• Puis clique sur le bouton Correction en haut de la fenêtre.
• Laisse le programme travailler sans te servir du PC!!!!!
• Copie et colle le rapport dans ta réponse stp