Security-X
Forum Security-X => Désinfections => Discussion démarrée par: llobdo le novembre 14, 2013, 12:12:16
-
Alors bonjour à tous, je vais essayer de suivre le tutoriel en cas d'infections par des logiciels.
Alors voilà j'ai windows7
Architecture 64
-voilà je suis sous google Chrome et j'ai des publicités incessantes depuis 3 semaines qui apparaissent dans des nouvelles fenêtres, malgré que j'ai adblock dans mon navigateur
-j'ai l'impression que mon ordinateur ralenti d'une manière générale
voici le lien du rapport de junkware: http://up.security-x.fr/file.php?h=R3d85978cd2e37443b4fc0dc5bb4ae3de
Merci pour votre aide.
-
Bonjour llobdo,
Bienvenue sur Security-X,
Nous allons regarder cela en établissant un diagnostic pour débuter :
Télécharge Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Clique sur le bouton Scan.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
1er lien: http://up.security-x.fr/file.php?h=Rb81590c2d23ae413ee4b84fec6ca2978
2èm lien: http://up.security-x.fr/file.php?h=R5ed0e3b48422296e77056b360d035261
-
Re,
Ouaip, plusieurs adwares à traiter ... Et plus grave, possiblement du rootkit zeroaccess !
à faire :
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- Glary Utilities 2.56.0.1822 / Glary Utilities 3.9.3 (comme tout logiciel "d'optimisation", peu ou pas utile et prend des ressources pour rien)
- Hotspot Shield 3.19 (dans sa version Free, contient des adwares : logiciel publicitaire)
- Lollipop (adware)
[Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)
~~~~~~~~~~~~~~~~~~~~~~~~~~
/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images (http://forum.security-x.fr/windows-7/%28tutoriel%29-creer-un-point-de-restauration-sous-windows-7/) /!\
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
() C:\Users\LEO\AppData\Roaming\okitspace\protect\PluginProtect.exe
() C:\Users\LEO\AppData\Local\Lollipop\Lollipop.exe
(Conduit) C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe
HKLM-x32\...\Runonce: [SpUninstallCleanUp] - REG delete HKEY_LOCAL_MACHINE\Software\SearchProtect /f [x]
HKCU\...\Run: [lollipop] - C:\Users\LEO\AppData\Local\Lollipop\Lollipop.exe [1796096 2013-11-03] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=eXQ&utm_content=hp&from=vit&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC509400&ts=1382968619
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=eXQ&utm_content=hp&from=vit&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC509400&ts=1382968619
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=vit&utm_campaign=eXQ&utm_content=ds&from=vit&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC509400&ts=1382968620&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=vit&utm_campaign=eXQ&utm_content=ds&from=vit&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC509400&ts=1382968620&type=default&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL =
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.jerecherche.org
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.jerecherche.org
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jerecherche.org
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jerecherche.org
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jerecherche.org/keyword/
HKCU\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.jerecherche.org
SearchScopes: HKCU - {557C21FE-7274-410D-853E-9ED4471BF193} URL = http://www.jerecherche.org/result.php?q={searchTerms}
BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\LEO\AppData\Roaming\Complitly\64\Complitly64.dll No File
BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll No File
BHO-x32: OKitSpace - {3543619C-D563-43f7-95EA-4DA7E1CC396A} - C:\Users\LEO\AppData\Roaming\okitspace\IE\OkitSpace.dll ()
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
CHR HKLM-x32\...\Chrome\Extension: [paoponfhfdfnjgddpnpjkambkcgdaaib] - C:\Users\LEO\AppData\Local\CRE\paoponfhfdfnjgddpnpjkambkcgdaaib.crx
R2 srvPlgProtect; C:\Users\LEO\AppData\Roaming\okitspace\protect\PluginProtect.exe [90112 2013-11-13] ()
S2 SrvUpdater; C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe [29696 2013-11-05] ()
S2 hshld; C:\Program Files (x86)\Hotspot Shield\bin\cmw_srv.exe [x]
R1 HssDRV6; C:\Windows\System32\DRIVERS\hssdrv6.sys [44744 2013-11-02] (AnchorFree Inc.)
R3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42184 2013-11-02] (Anchorfree Inc.)
2013-11-06 11:17 - 2013-11-06 11:17 - 00000000 ____D C:\windows\SysWOW64\Hotspot Shield
2013-11-03 15:59 - 2013-11-14 14:51 - 00001954 _____ C:\Users\LEO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk
2013-11-03 15:59 - 2013-11-14 11:44 - 00000000 ____D C:\Users\LEO\AppData\Local\Lollipop
2013-10-23 06:09 - 2013-10-23 06:09 - 00000000 ____D C:\windows\SysWOW64\SearchProtect
C:\Windows\Installer\{a8d03ea5-4458-27ac-5b67-915734ca5bd0}
C:\Program Files (x86)\SoftwareUpdater
C:\Users\LEO\AppData\Local\CRE
C:\Program Files (x86)\Hotspot Shield
C:\Users\LEO\AppData\Roaming\Complitly
C:\Users\LEO\AppData\Roaming\okitspace
DeleteJunctionsIndirectory: C:\Program Files\Windows Defender
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
3) Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Scanner.
- Attend la fin de la recherche puis clique sur l'option Rapport.
- Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
4) Télécharge RogueKiller (http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe) (de Tigzy) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
- Laisse l'outil travailler.
- Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse
(S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)
Sont attendu dans ta prochaine réponse les rapports :
- Fixlog.txt
- Adwcleaner "scanner"
- Roguekiller "Scan"
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
merci pour votre réponse détaillée, voici le lien du rapport de l'étape 2: http://up.security-x.fr/file.php?h=Rbb2649e57df98cf455f81b7745b8ad92 je passe à l'étape 3
-
voici le lien de l'étape 3: http://up.security-x.fr/file.php?h=Ra2dcd9a5cda80a8210182c4a450eea77
-
voici le lien de la dernière étape: http://up.security-x.fr/file.php?h=Rce2ea267779b52deeb96da34d7a444aa
en espérant que mon pb n'est pas très grave, en tout cas merci pour votre aide.
sinon je voulais savoir ce que vous entendez par rootkit zeroaccess ?
-
Re,
C'est une infection dangereuse, généralement attrapée lors de visite de site de streaming ou téléchargement, si le système et les plguins ne sont pas à jour (ce qui est le cas ici, on mettra à jour en fin de procédure)
On va continuer le nettoyage :
1) Relance Adwcleaner :
/!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Scanner.
- Attend la fin de la recherche puis clique sur l'option Nettoyer.
- Valide l'avertissement.
- Si le pc demande à redémarrer, accepte.
- Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
2) Télécharge Farbar Service Scanner (http://www.bleepingcomputer.com/download/farbar-service-scanner/dl/62/) (de Farbar) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coche toutes les options
- Clique sur le bouton "Scan"
- Laisse travailler l'outil, un rapport va apparaitre.
- Poste son contenu dans ta prochaine réponse
(S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
-
Alors j'ai fait le nettoyage avec adware, mais voilà du coup j'ai un autre pb mais je sais pas si c'est lié...
Voilà mon nouveau pb: mon ordi ne veut plus se connecter à internet.
On a unelive box pour plusieurs pc, du coup j'utilise un autre pc pour vous répondre.
Donc mon ordi detecte le réseau wifi mais quand je veux me conncter il me dit d'abord: "connection anormalement longue" donc je fais "résoudre les problèmes". et là mon ordi me met "il existe peut être un problème avec la carte Connexion réseau sans fil". Alors que les autres pc sont connecté à internet...
.... ca me laisse perplexe.
aidez moi svp
-
Re,
Non, c’est possiblement un symptôme du rootkit zeroaccess justement.
Transfère sur le pc connecté via clé usb le rapport d'adwcleaner pour me le fournir, et inversement, télécharge depuis ce pc FSS et fais l'analyse sur le pc infecté, puis donne-moi le rapport.
-
voici le dernier rapport d'adware http://up.security-x.fr/file.php?h=R66e05f133b15c57247df2b354aa07dac
-
voici le rapport de FSS http://up.security-x.fr/file.php?h=Rdb4bbec91f54df1beb20393430bf5ec8
Merci
-
Re,
Pourras-tu me fournir ce rapport s'il te plait :
AdwCleaner[S0].txt
Puis, fais ceci :
Relance FRST :
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Coche l'option addition.txt en bas.
- Clique sur le bouton Scan.
- L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistrés dans le même dossier que l'outil.
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
j'ai pas tout compris, pouvez vous me préciser cette étape : "Pourras-tu me fournir ce rapport s'il te plait :
AdwCleaner[S0].txt"
-
Re,
Cherche sur ton pc (celui qui n'est plus connecté), ce rapport précis, il doit se trouver à la racine de ton disque dur, donc :
Ordinateur -> C:\
Ou lance une recherche de fichier pour le trouver.
:AAN
-
voici le lien adwareS0 http://up.security-x.fr/file.php?h=Rf87772d047c9861d390bbf7ba0200a0d
(désolé pr le temps de réponse mais j'étais en train de diner)
les deux autres liens vont arriver
-
voici le lien FRST addition http://up.security-x.fr/file.php?h=R5aaaa79bfd8eb9e75ebd01aa8d854320
-
http://up.security-x.fr/file.php?h=Rfbf67543ea74864d20ba2d930698aa85
-
Re,
Bon, c'est peut-être plutôt la désinstallation de HotspotShield qui provoque l'erreur.
à faire :
/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images (http://forum.security-x.fr/windows-7/%28tutoriel%29-creer-un-point-de-restauration-sous-windows-7/) /!\
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
DisableService: taphss6
CMD: SC delete taphss6
2013-11-04 14:51 - 2013-11-02 00:31 - 00044744 _____ (AnchorFree Inc.) C:\windows\system32\Drivers\hssdrv6.sys
2013-11-02 00:34 - 2013-11-02 00:34 - 00042184 _____ (Anchorfree Inc.) C:\windows\system32\Drivers\taphss6.sys
Task: {8994DD75-FF2F-4A55-A8FC-197EB6C49636} - \Express FilesUpdate No Task File
Task: {BDFEAA55-ABCF-47F4-B700-EBA54F9C1358} - \Scheduled Update for Ask Toolbar No Task File
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
-
voilà chef http://up.security-x.fr/file.php?h=Rdfe60d57bdbe786991c51351d6fe99e1
vous pensez que mon pb est grave ?
-
Re,
Tu n'aurais pas passé deux fois le Fix ?
Le problème de connexion est toujours présent ?
-
oui je crois que j'ai passé deux fois le fix sans faire exprès, oui le pb de connection est tjrs là... du cou je fais quoi ?
-
Re,
On va réparer la connexion si possible, sinon on restaurera avant le problème au pire.
à faire :
Télécharge Windows Repair (http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio_setup.exe) (de Tweaking.com) sur ton bureau.
- Double-Clic dessus pour l'installer puis lance-le.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Va directement à l'onglet "step 3"
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FWindowsrepair%2FWindowsrepair4.png&hash=ffb5c2569900648dbd4bfe5e89f5928a02416d56)
- Clique sur le bouton Do It, et laisse le scan s'effectuer.
- Ferme le programme et redémarre le PC
- Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
- Clique sur le bouton"Start"
- Dans la fenêtre suivante, coche exactement ces options :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FWindowsrepair%2FWindowsrepair10.png&hash=3a3f048c725b8b3577f2f668fcceb81e2b365ed2)
- Clique enfin sur "Start" en bas à droite.
- Redémarre le pc s'il ne le fait pas automatiquement.
-
merci pour ton aide
mais j'ai deux questions:
Quelle version de windows repair je télécharge ?
et je ne vois pas comment l'installer sur mon pc qui n'a pas de connection internet...
-
Re,
Tu télécharge depuis le pc connecté et transfère via clé usb, comme toujours ;)
je te remet le lien direct ici :
http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio_setup.exe
-
ok je vais faire ce que tu me dis et normalement apres ca je retrouve une connection ?
-
Re,
Je ne peux t'assurer de rien, tu fais la procédure, et on voit si cela évolue ou pas ;)