Security-X
Forum Security-X => Désinfections => Discussion démarrée par: xavier tardy le mars 12, 2016, 14:51:15
-
Bonjour,
Mon PC semble infecté par un virus. Des pubs s'ouvrent sans cesse avec un message avec la voix d'une femme qui me hurle d'appeler un numéro pour réparet mon ordinateur. Pour m'en débarrasser, j'ai vu dans de nombreux sujets qu'il fallait que je télécharge adw cleaner. Seulement voilà, je ne sais pas quoi faire du rapport que j'ai obtenu sachant que les pubs sont toujours là et m'empêche vraiment de naviguer. Je joint mon rapport en dessous. Si quelqu'un peut me dire ce que je dois faire ça serait vraiment génial ! Merci beaucoup.
Xavier
# AdwCleaner v5.101 - Rapport créé le 12/03/2016 à 14:27:48
# Mis à jour le 07/03/2016 par Xplode
# Base de données : 2016-03-08.1 [Serveur]
# Système d'exploitation : Windows 8.1 (x64)
# Nom d'utilisateur : Xavier - XAVPC
# Exécuté depuis : C:\Users\Xavier\Downloads\adwcleaner_5.101 (1).exe
# Option : Nettoyer
# Support : http://toolslib.net/forum
***** [ Services ] *****
***** [ Dossiers ] *****
***** [ Fichiers ] *****
[-] Fichier Supprimé : C:\Users\Xavier\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_cdncache-a.akamaihd.net_0.localstorage
[-] Fichier Supprimé : C:\Users\Xavier\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_cdncache-a.akamaihd.net_0.localstorage-journal
[-] Fichier Supprimé : C:\Users\Xavier\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_pstatic.bestpriceninja.com_0.localstorage
[-] Fichier Supprimé : C:\Users\Xavier\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_pstatic.bestpriceninja.com_0.localstorage-journal
[-] Fichier Supprimé : C:\Users\Xavier\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_pstatic.bestpriceninja.com_0.localstorage
[-] Fichier Supprimé : C:\Users\Xavier\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_pstatic.bestpriceninja.com_0.localstorage-journal
***** [ DLLs ] *****
[N] Fichier Non Désinfecté : C:\WINDOWS\Sysnative\dnsapi.dll
[N] Fichier Non Désinfecté : C:\WINDOWS\SysWOW64\dnsapi.dll
***** [ Raccourcis ] *****
***** [ Tâches planifiées ] *****
***** [ Registre ] *****
[-] Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\bestpriceninja.com
[-] Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\pstatic.bestpriceninja.com
***** [ Navigateurs ] *****
*************************
:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés
*************************
C:\Program Files (x86)\AdwCleaner\AdwCleaner[C1].txt - [3575 octets] - [11/03/2016 11:47:41]
C:\Program Files (x86)\AdwCleaner\AdwCleaner[C2].txt - [2083 octets] - [12/03/2016 14:27:48]
C:\Program Files (x86)\AdwCleaner\AdwCleaner[S1].txt - [3220 octets] - [11/03/2016 11:44:25]
C:\Program Files (x86)\AdwCleaner\AdwCleaner[S2].txt - [2194 octets] - [12/03/2016 14:25:07]
########## EOF - C:\Program Files (x86)\AdwCleaner\AdwCleaner[C2].txt - [2365 octets] ##########
-
Bonjour,
Infection par adwares, logiciels publicitaires installés "volontairement", car les utilisateurs de ce pc ne sont pas assez vigilants, et ne décochent pas les sponsors proposés avec l'installation de certains programmes "gratuits".
à faire pour un premier diagnostic :
Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.
Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
- Clique sur le bouton Analyser.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Bonjour,
Voici les 2 liens obtenus après avoir suivi vos consignes :
- FRST : http://up.security-x.fr/file.php?h=R8cca1c783e3ddc937de6f421f45c144c
- Addition : http://up.security-x.fr/file.php?h=Rbc31d214f064ce7f94a63ae1f8fd2ff3
Un immense merci pour le temps que vous prenez pour traiter mon problème ! :)
Bonne journée
-
Re,
05-03-2016 12:50:22 Fin de d?sinfection
Tu as été pris en charge sur un autre forum ?
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
CreateRestorePoint:
CloseProcesses:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wedqhdhk => ""="service"
FF HKLM-x32\...\Firefox\Extensions: [{4ABFB973-93F9-4B7C-837E-65A3D3743DB8}] - C:\Program Files\shopperz221120150011\Firefox\{4ABFB973-93F9-4B7C-837E-65A3D3743DB8}.xpi => non trouv?(e)
CHR HKU\S-1-5-21-3006867793-2610852261-1504216720-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nfedoihopcjdfjihhhojdclnfdgomdho] - hxxps://clients2.google.com/service/update2/crx
S1 xdtluccz; \??\C:\WINDOWS\system32\drivers\xdtluccz.sys [X]
EmptyTemp:
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- Le pc va demander à redémarrer, accepte.
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
Des fichiers systèmes ont été détourné/modifié par l'infection, nous allons tenter de les réparer :
https://support.microsoft.com/fr-fr/kb/929833
Indique-moi le résultat obtenu, on fera une autre vérification de toute manière ensuite.
:AAN
-
Non je n'ai pas été pris en charge sur un autre forum, en revanche j'ai eu un nettoyage récent de mon PC par un réparateur pour un autre problème.
Voici mon rapport fixlog :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par Xavier (2016-03-13 17:48:47) Run:1
Exécuté depuis C:\Users\Xavier\Desktop
Profils chargés: Xavier (Profils disponibles: Xavier)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
start
CreateRestorePoint:
CloseProcesses:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wedqhdhk => ""="service"
FF HKLM-x32\...\Firefox\Extensions: [{4ABFB973-93F9-4B7C-837E-65A3D3743DB8}] - C:\Program Files\shopperz221120150011\Firefox\{4ABFB973-93F9-4B7C-837E-65A3D3743DB8}.xpi => non trouv?(e)
CHR HKU\S-1-5-21-3006867793-2610852261-1504216720-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nfedoihopcjdfjihhhojdclnfdgomdho] - hxxps://clients2.google.com/service/update2/crx
S1 xdtluccz; \??\C:\WINDOWS\system32\drivers\xdtluccz.sys [X]
EmptyTemp:
end
*****************
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\System\CurrentControlSet\Control\SafeBoot\Network\Wedqhdhk" => clé supprimé(es) avec succès
HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\{4ABFB973-93F9-4B7C-837E-65A3D3743DB8} => valeur supprimé(es) avec succès
"HKU\S-1-5-21-3006867793-2610852261-1504216720-1001\SOFTWARE\Google\Chrome\Extensions\nfedoihopcjdfjihhhojdclnfdgomdho" => clé supprimé(es) avec succès
xdtluccz => service supprimé(es) avec succès
EmptyTemp: => 745.4 MB données temporaires supprimées.
Le système a dû redémarrer.
==== Fin de Fixlog 17:49:43 ====
Encore merci !
-
Re,
As-tu bien fait la dernière étape avec la vérification des fichiers système ?
Si oui, à refaire s'il te plait :
Relance FRST :
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
- Coche l'option Addition.txt en bas de la fenêtre.
- Clique sur le bouton Analyser.
- L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Voici les nouveaux liens des rapports :
- Addition : http://up.security-x.fr/file.php?h=Rc0a574c2b09f81c3cfea01b0b6e8ab3f
- FRST : http://up.security-x.fr/file.php?h=R9b0f2f0b56d174078609ee750a464d56
Bonne soirée et merci
-
Re,
Quel message avais-tu reçu à la fin de l'analyse des fichier système ?
-
Ah oui pardon je l'avais oublié...
Il m'avais dis que des fichiers n'avaient pu être réparés...
-
En tout cas les pubs qui m'empêchait totalement de naviguer ont disparu complètement donc déjà pour ça un immense merci !
-
Re,
C'est déjà une bonne chose, mais il faut qu'on répare ces fichiers systèmes maintenant :
Relance FRST :
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
- Tape dans l'encart de recherche en haut de l'outil : dnsapi.dll
- Clique sur le bouton Chercher Fichiers.
- L'outil va créer le rapport nommé Search.txt enregistré dans le même dossier que l'outil.
Poste le rapport généré.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Re,
Voici le rapport suite à la recherche des fichiers endommagés :
- http://up.security-x.fr/file.php?h=R5637d5b30de7df30d5dc916950afca78
Bonne semaine !
-
Re,
Contradictoire ces rapports ...
Pour voir de nouveau:
Relance FRST :
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
- Coche l'option Addition.txt en bas de la fenêtre.
- Clique sur le bouton Analyser.
- L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Les liens des 2 nouveaux rapports sont :
- FRST : http://up.security-x.fr/file.php?h=R6a594345ce5c59b50185f2e45cfa4f24
- Addition : http://up.security-x.fr/file.php?h=R24eb49a19b8e22d8b6717f5560fc1fe8
Encore merci.
-
Re,
Ha ben donc la modification s'est faite à retardement, mais maintenant, c'est ok ;)
On peut conclure :
Télécharge DelFix (https://toolslib.net/downloads/finish/2/) (de Xplode) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Ne touche pas aux options cochées
- Coche en plus "Purger la restauration système"
- Clique sur le bouton "Exécuter"
- Laisse travailler l'outil.
- Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.
#############
Prévention :
Ton PC a été infecté par des adwares, à savoir des logiciels potentiellement indésirables qui se mettent en place lors des installations de logiciels.
Il faut donc que les utilisateurs de ce PC veillent à ne pas donner leur accord pour que ceux-ci s'installent lors des installations de logiciels (en décochant par exemple les cases précochées qui autorisent l'installation d'un moteur de recherche).
Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter/) en utilisant cet outil :
Télécharge Adware Prevention (http://security-x.fr/~guigui0001/Adware_Prevention.exe) (de guigui0001) sur ton bureau.
Sous IE9, IE10, IE11 et Windows 8 le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Lance-le en double-cliquant sur Adware_Prevention.exe
- Cet outil va simuler une installation sponsorisée par des adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
- A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
Tutoriel en images (http://forum.security-x.fr/tutoriels-317/s%27entrainer-a-ne-pas-installer-des-logiciels-indesirables-avec-adware-prevention/)
- Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !
Note : cet outil pédagogique tant à évoluer en permanence, n'hésite pas à remonter les problèmes rencontrés ou les suggestions pour son amélioration
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/) et à lire (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : Ghostery (https://chrome.google.com/webstore/detail/ghostery/mlomiejdfkolichcflejclcbmpeaniij?hl=fr) ou Scriptsafe (https://chrome.google.com/webstore/detail/scriptsafe/oiigbmnaadbkfbmpbfijlflahbdbdgdf) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux utiliser un outil comme SXCU (http://forum.security-x.fr/tutoriels-317/(tutoriel)-sx-checkupdate/) pour vérifier occasionnellement les mises à jour disponibles pour les principaux logiciels/plugins.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.tomsguide.fr/forum/id-2134891/prevention-protection-securiser-ordinateur.html)
Ici aussi ! (http://www.tomsguide.fr/forum/id-416930/dossier-prevention-protection.html)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
Vraiment un immense merci pour votre aide, vous me sauvez et m'évitez des frais de réparateur !!
Bonne semaine !! :)
-
Et le rapport Delfix a donné ça :
# DelFix v1.012 - Rapport créé le 14/03/2016 à 11:38:38
# Mis à jour le 04/03/2015 par Xplode
# Nom d'utilisateur : Xavier - XAVPC
# Système d'exploitation : Windows 8.1 (64 bits)
~ Suppression des outils de désinfection ...
Supprimé : C:\FRST
Supprimé : C:\Users\Xavier\Desktop\Addition.txt
Supprimé : C:\Users\Xavier\Desktop\Fixlog.txt
Supprimé : C:\Users\Xavier\Desktop\FRST.txt
Supprimé : C:\Users\Xavier\Desktop\FRST64.exe
Supprimé : C:\Users\Xavier\Desktop\Search.txt
Supprimé : C:\Users\Xavier\Downloads\Addition.txt
Supprimé : C:\Users\Xavier\Downloads\adwcleaner_5.101 (1).exe
Supprimé : C:\Users\Xavier\Downloads\adwcleaner_5.101.exe
Supprimé : C:\Users\Xavier\Downloads\FRST.txt
~ Purge de la restauration système ...
Supprimé : RP #25 [Fin de désinfection | 03/05/2016 11:50:22]
Supprimé : RP #26 [Windows Update | 03/09/2016 10:42:26]
Supprimé : RP #27 [Removed Bonjour | 03/10/2016 20:20:20]
Supprimé : RP #29 [Restore Point Created by FRST | 03/13/2016 16:48:49]
Nouveau point de restauration créé !
########## - EOF - ##########