Infection supreme saving et api bestvideodownloader

[baladin43]

Bonjour,

Je suis infecté par les malwares supreme saving et api bestvideodownloader (et surement d'autres).
J'ai Eset Nod32 qui me bloquent pleins de popup quand je surfe. J'ai également des images publicitaires qui apparaissent dans les sites.
J'ai des fenêtres qui s'ouvrent dès que je clique sur un lien, et certains liens sont surlignés, avec apparition d'image au survol.
J'ai supprimé le programme api supreme saving et son add on dans firefox (que j'utilise tout le temps).
J'ai fait une désinfection avec Malwarbytes qui a supprimé pas mal de malware mais pas les plus virulants.
J'ai scanné avec ADW Cleaner qui apparemment a trouvé pas mal de choses, mais je n'ai rien supprimé.
Quelqu'un peut il m'indiquer la procédure ?

Merci par avance
-----

[chantal11]

Bonjour,

Nous allons regarder ton souci ensemble.

Poste en pièce-jointe, les rapports Malwarebytes et AdwCleaner, s'il te plaît.

@+

[baladin43]

bonjour,

Voici les rapports

Merci

[chantal11]

Re,

En effet ! .... il faut être vigilant sur ce que tu valides lors de l'installation de logiciels gratuits, bien lire les conditions d'utilisation et ne pas accepter tout ce qui est proposé avec (cases pré-cochées).
Stop la pub !

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

Ask.com
Boxore
DVDVideoSoft Toolbar
Conduit
DomaIQ
Duuqu
Supreme Savings
tuguusl
uTorrentBar_FR

Si un programme ne veut pas se désinstaller, tu passes au suivant.

---------------------------------------------------------------------------------------------

Ensuite, tu relances AdwCleaner avec l'option Nettoyer

---------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
• Patiente le temps de l'analyse et valide le message d'informations
• Un redémarrage est demandé, valider par OK
• Au redémarrage, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(S).tx t

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Est attendu le nouveau rapport AdwCleaner

@+

[A voir en vidéo sur Futura]

[baladin43]

Voici le nouveau rapport

[chantal11]

Re,

OK pour le rapport.

Nous allons maintenant contrôler le système avec cet outil, afin de cibler les résidus.

---------------------------------------------------------------------------------------------

FRST :

• Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau
  Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
  
• A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

@+

[baladin43]

bonjour,

Voici les rapports demandés

[chantal11]

Bonjour,

Nous allons relancer FRST pour un correctif :

---------------------------------------------------------------------------------------------

FRST - Correctif :

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  Task: {908F2EA0-2A79-48DC-B892-058804C43DBD} - System32\Tasks\Updater19962.exe => C:\Users\jean\AppData\Local\Updater19962\Updater19962.exe
  HKCU\...\Run: [ASRockOCTuner] - [x]
  HKCU\...\Run: [ASRockIES] - [x]
  HKCU\...\Run: [lollipop_05010741] - "c:\users\jean\appdata\local\lollipop\lollipop_05010741.exe" lollipop_05010741
  SearchScopes: HKLM - DefaultScope value is missing.
  SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
  SearchScopes: HKCU - {5E83CF93-71F6-48BF-8A22-B4D0DD5AB3FB} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
  SearchScopes: HKCU - {8A23A62A-FEFA-46A7-811B-766E8E45D1C9} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=BACD9B68-D008-4983-9F00-D103B34F795D&apn_sauid=C74D1EF2-B5B3-45DE-A5E4-DB5E7D9F8502
  S3 IesDrv; \??\C:\Windows\system32\Drivers\IesDrv.sys [x]
  2013-09-02 17:48 - 2013-04-18 08:16 - 00000000 ____D C:\Program Files\Tuguu SL
  C:\Users\jean\AppData\Local\Updater19962
  c:\users\jean\appdata\local\lollipop
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST, dans ton dossier Téléchargements, dans ton cas) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST64.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

TFC - Nettoyage des fichiers temporaires :

• Télécharge TFC de OldTimer et enregistre-le sur ton Bureau
• Ferme toutes les applications en cours
• Double-clique sur TFC.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
• Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport Fixlog

@+

[baladin43]

ci joint le Fixlog

[chantal11]

Re,


Comment se comporte le système maintenant ?

Nous allons mettre à jour et vérifier des extensions sensibles aux failles de sécurité.

---------------------------------------------------------------------------------------------

Installe la dernière version Java :

Télécharge et installe cette dernière version Java

Pense à décocher la barre Ask qui est proposée


---------------------------------------------------------------------------------------------

Mets à jour ta version d'Adobe Reader :

Télécharge et installe cette dernière version :
Adobe Reader
N'oublie pas de décocher la case Google Chrome et McAfee Sécurity Scan

---------------------------------------------------------------------------------------------

SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur SXCU.exe pour lancer l'application
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Au menu principal, clique sur le bouton Rapport
• Poste le rapport_SX.txt dans ta prochaine réponse.

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXCU.exe est sûr)

---------------------------------------------------------------------------------------------

Est attendu le rapport SXCU

@+

[baladin43]

Bonjour,

Il n'y plus les fenêtres qui apparaissent ainsi que les liens sur les sites ou j'ai l'habitude d'aller, par contre Eset me bloque régulièrement des url "bestvidéodownloader", jusqu'à 19 sur le même site (youtube) et 4 ou 5 sur d'autres.
Ci-joint le rapport SX

[chantal11]

Bonjour,

OK pour le rapport SXCU

par contre Eset me bloque régulièrement des url "bestvidéodownloader", jusqu'à 19 sur le même site (youtube) et 4 ou 5 sur d'autres.

Tu as un exemple d'url à m'indiquer (url bloquée par Eset)

@+

[baladin43]

ci joint un exemple.
Sur youtube par ex, dès que je clique sur un lien, j'ai 5 ou 6 notifications.

[chantal11]

Re,

C'est sous quel navigateur ?

[baladin43]

je n'utilise que Firefox

[chantal11]

Re,

Dans les Extensions et les plugins de Firefox (Modules complémentaires), regarde s'il y a encore trace de bestvideodownloader, api et désactive le.

@+

[baladin43]

Non aucune trace dans les pluggins.
J'ai trouvé ça,

http://www.besttechtips.org/how-to-r...deo-downloader

est ce que ça peut être utile ?
(je n'ai pas de dossier Yontoo indiqué dans la méthode de suppression manuelle)

[chantal11]

Re,

Oui, j'avais cette fiche aussi mais normalement, il n'y a plus Yontoo sur ton système.

Nous allons faire une recherche avec cet outil :

---------------------------------------------------------------------------------------------

SystemLook :

• Télécharge SystemLook de jpshortstuff et enregistre-le sur ton Bureau
• Double-clique sur SystemLook.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie-colle dans le cadre principal :
  
  
  Code:

  :regfind
  yontoo
  
  :folderfind
  *yontoo*
  
  :filefind
  *yontoo*

• Clique sur Look et patiente le temps de la recherche
• Clique sur Exit pour refermer l'outil
• Poste le rapport SystemLook.txt qui s'affiche dans ta prochaine réponse
  Le rapport SystemLook.txt est enregistré sur le Bureau.

---------------------------------------------------------------------------------------------

Est attendu le rapport SystemLook.txt

@+

[baladin43]

Bonjour,

Voici le rapport, mais il n'a rien trouvé

[chantal11]

Bonjour,

Voici le rapport, mais il n'a rien trouvé

Oui, c'était à prévoir, puisque nous l'avons supprimé.

Nous allons refaire une analyse du système.

Donc, tu relances FRST.exe par clic-droit -> Exécuter en tant qu'administrateur, puis tu cliques sur le bouton Scan pour lancer une nouvelle analyse et tu postes le nouveau rapport FRST.txt.
Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

Est attendu le nouveau rapport FRST.txt

@+

[chantal11]

Bonjour,

Des difficultés pour appliquer les dernières consignes indiquées ?

@+

[baladin43]

Bonjour,

Voici le rapport attendu
(en retard, car j'étais absent tous ces jours)

[chantal11]

Bonjour,

Rien non plus dans ce nouveau rapport FRST.

Toujours des alertes de Eset sur l'url signalée ?

@+

[baladin43]

oui, toujours pas mal de notifications sur youtube dès que je clique sur un lien.
Par contre, rien sur daylimotion.
Ne pourrais t on pas bloquer l'adresse avec le parefeu ?

[chantal11]

Re,

oui, tu peux bloquer l'url dans le pare-feu.

Nous allons faire une autre recherche avec SystemLook.

---------------------------------------------------------------------------------------------

SystemLook :

• Double-clique sur SystemLook.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie-colle dans le cadre principal :
  
  
  Code:

  :regfind
  bestvideodownloader
  
  :folderfind
  *bestvideodownloader*
  
  :filefind
  *bestvideodownloader*

• Clique sur Look et patiente le temps de la recherche
• Clique sur Exit pour refermer l'outil
• Poste le rapport SystemLook.txt qui s'affiche dans ta prochaine réponse
  Le rapport SystemLook.txt est enregistré sur le Bureau.

---------------------------------------------------------------------------------------------

Est attendu le rapport SystemLook

@+

[baladin43]

voici le rapport, mais encore rien.
Truc nouveau, tout a l'heure j'ai cliqué sur des sites en favoris, et eset a encore bloqué des fenetres.

[chantal11]

Re,

Nous allons faire un correctif avec FRST.

---------------------------------------------------------------------------------------------

FRST - Correctif :

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  Reg: reg delete "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules" /v {CA0B7070-0999-4364-8DE5-46CF268026BA} /f
  Reg: reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules" /v {CA0B7070-0999-4364-8DE5-46CF268026BA} /f
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Truc nouveau, tout a l'heure j'ai cliqué sur des sites en favoris, et eset a encore bloqué des fenetres.

Quels sont ces sites ?
Tu ne peux pas les supprimer de tes favoris ?

Est attendu le rapport Fixlog.

@+

[baladin43]

Bonjour,

Ci-joint le fixllog demandé.
Concernant les favoris, ce sont des sites sans problème habituellement, en plus c'est totalement aléatoire au niveau de l'ouverture de la popup bloquée.

[chantal11]

Bonjour,

OK pour le rapport.

Tu as toujours ce souci avec bestvideodownloader sous Firefox ?

Réinitialise Firefox en suivant cette procédure :
https://support.mozilla.org/fr/kb/re...ment-problemes

@+

[baladin43]

Bonjour,

Je reviens vers vous, j'ai fait une réinitialisation Firefox, apparemment, plus de bestvideo, tout semble être rentré dans l'ordre.

Merci bcp pour votre aide, et votre temps passé.

a bientot