Security-X

Forum Security-X => Désinfections => Discussion démarrée par: llobdo le novembre 14, 2013, 12:12:16

Titre: Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 12:12:16
Alors bonjour à tous, je vais essayer de suivre le tutoriel en cas d'infections par des logiciels.

Alors voilà j'ai windows7
Architecture 64
-voilà je suis sous google Chrome et j'ai des publicités incessantes depuis 3 semaines qui apparaissent dans des nouvelles fenêtres, malgré que j'ai adblock dans mon navigateur
-j'ai l'impression que mon ordinateur ralenti d'une manière générale

voici le lien du rapport de junkware: http://up.security-x.fr/file.php?h=R3d85978cd2e37443b4fc0dc5bb4ae3de

Merci pour votre aide.
Titre: Re : Aide logiciel indisérable, pubs
Posté par: hyunkel30 le novembre 14, 2013, 14:23:24
Bonjour llobdo,

Bienvenue sur Security-X,

Nous allons regarder cela en établissant un diagnostic pour débuter :

Télécharge Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou  64bits.

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Poste les deux rapports générés.

Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 15:01:01
1er lien: http://up.security-x.fr/file.php?h=Rb81590c2d23ae413ee4b84fec6ca2978

2èm lien: http://up.security-x.fr/file.php?h=R5ed0e3b48422296e77056b360d035261
Titre: Re : Aide logiciel indisérable, pubs
Posté par: hyunkel30 le novembre 14, 2013, 15:32:03
Re,

Ouaip, plusieurs adwares à traiter ... Et plus grave, possiblement du rootkit zeroaccess !

à faire :

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Glary Utilities 2.56.0.1822 / Glary Utilities 3.9.3 (comme tout logiciel "d'optimisation", peu ou pas utile et prend des ressources pour rien)

- Hotspot Shield 3.19 (dans sa version Free, contient des adwares : logiciel publicitaire)
- Lollipop (adware)

[Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)

~~~~~~~~~~~~~~~~~~~~~~~~~~

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images (http://forum.security-x.fr/windows-7/%28tutoriel%29-creer-un-point-de-restauration-sous-windows-7/) /!\

start
() C:\Users\LEO\AppData\Roaming\okitspace\protect\PluginProtect.exe
() C:\Users\LEO\AppData\Local\Lollipop\Lollipop.exe
(Conduit) C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe
HKLM-x32\...\Runonce: [SpUninstallCleanUp] - REG delete HKEY_LOCAL_MACHINE\Software\SearchProtect /f [x]
HKCU\...\Run: [lollipop] - C:\Users\LEO\AppData\Local\Lollipop\Lollipop.exe [1796096 2013-11-03] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=eXQ&utm_content=hp&from=vit&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC509400&ts=1382968619
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dosearches.com/?utm_source=b&utm_medium=vit&utm_campaign=eXQ&utm_content=hp&from=vit&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC509400&ts=1382968619
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=vit&utm_campaign=eXQ&utm_content=ds&from=vit&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC509400&ts=1382968620&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=vit&utm_campaign=eXQ&utm_content=ds&from=vit&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC509400&ts=1382968620&type=default&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL =
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.jerecherche.org
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.jerecherche.org
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jerecherche.org
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jerecherche.org
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jerecherche.org/keyword/
HKCU\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.jerecherche.org
SearchScopes: HKCU - {557C21FE-7274-410D-853E-9ED4471BF193} URL = http://www.jerecherche.org/result.php?q={searchTerms}
BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\LEO\AppData\Roaming\Complitly\64\Complitly64.dll No File
BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll No File
BHO-x32: OKitSpace - {3543619C-D563-43f7-95EA-4DA7E1CC396A} - C:\Users\LEO\AppData\Roaming\okitspace\IE\OkitSpace.dll ()
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
CHR HKLM-x32\...\Chrome\Extension: [paoponfhfdfnjgddpnpjkambkcgdaaib] - C:\Users\LEO\AppData\Local\CRE\paoponfhfdfnjgddpnpjkambkcgdaaib.crx
R2 srvPlgProtect; C:\Users\LEO\AppData\Roaming\okitspace\protect\PluginProtect.exe [90112 2013-11-13] ()
S2 SrvUpdater; C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe [29696 2013-11-05] ()
S2 hshld; C:\Program Files (x86)\Hotspot Shield\bin\cmw_srv.exe [x]
R1 HssDRV6; C:\Windows\System32\DRIVERS\hssdrv6.sys [44744 2013-11-02] (AnchorFree Inc.)
R3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42184 2013-11-02] (Anchorfree Inc.)
2013-11-06 11:17 - 2013-11-06 11:17 - 00000000 ____D C:\windows\SysWOW64\Hotspot Shield
2013-11-03 15:59 - 2013-11-14 14:51 - 00001954 _____ C:\Users\LEO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk
2013-11-03 15:59 - 2013-11-14 11:44 - 00000000 ____D C:\Users\LEO\AppData\Local\Lollipop
2013-10-23 06:09 - 2013-10-23 06:09 - 00000000 ____D C:\windows\SysWOW64\SearchProtect
C:\Windows\Installer\{a8d03ea5-4458-27ac-5b67-915734ca5bd0}
C:\Program Files (x86)\SoftwareUpdater
C:\Users\LEO\AppData\Local\CRE
C:\Program Files (x86)\Hotspot Shield
C:\Users\LEO\AppData\Roaming\Complitly
C:\Users\LEO\AppData\Roaming\okitspace
DeleteJunctionsIndirectory: C:\Program Files\Windows Defender
end
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\



3) Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) (de Xplode) sur ton Bureau.



(S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)



Sont attendu dans ta prochaine réponse les rapports :
- Fixlog.txt
- Adwcleaner "scanner"
- Roguekiller "Scan"

Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 16:57:57
merci pour votre réponse détaillée, voici le lien du rapport de l'étape 2: http://up.security-x.fr/file.php?h=Rbb2649e57df98cf455f81b7745b8ad92  je passe à l'étape 3
Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 17:02:33
voici le lien de l'étape 3: http://up.security-x.fr/file.php?h=Ra2dcd9a5cda80a8210182c4a450eea77
Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 17:12:34
voici le lien de la dernière étape:  http://up.security-x.fr/file.php?h=Rce2ea267779b52deeb96da34d7a444aa 

en espérant que mon pb n'est pas très grave, en tout cas merci pour votre aide.

sinon je voulais savoir ce que vous entendez par rootkit zeroaccess ?
Titre: Re : Aide logiciel indisérable, pubs
Posté par: hyunkel30 le novembre 14, 2013, 18:30:36
Re,

C'est une infection dangereuse, généralement attrapée lors de visite de site de streaming ou téléchargement, si le système et les plguins ne sont pas à jour (ce qui est le cas ici, on mettra à jour en fin de procédure)

On va continuer le nettoyage :

1) Relance Adwcleaner :

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\



(S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 18:41:57
Alors j'ai fait le nettoyage avec adware, mais voilà du coup j'ai un autre pb mais je sais pas si c'est lié...
Voilà mon nouveau pb: mon ordi ne veut plus se connecter à internet.
On a unelive box pour plusieurs pc, du coup j'utilise un autre pc pour vous répondre.
Donc mon ordi detecte le réseau wifi mais quand je veux me conncter il me dit d'abord: "connection anormalement longue" donc je fais "résoudre les problèmes". et là mon ordi me met "il existe peut être un problème avec la carte Connexion réseau sans fil". Alors que les autres pc sont connecté à internet...

.... ca me laisse perplexe.

aidez moi svp
Titre: Re : Aide logiciel indisérable, pubs
Posté par: hyunkel30 le novembre 14, 2013, 18:52:51
Re,

Non, c’est possiblement un symptôme du rootkit zeroaccess justement.

Transfère sur le pc connecté via clé usb le rapport d'adwcleaner pour me le fournir, et inversement, télécharge depuis ce pc FSS et fais l'analyse sur le pc infecté, puis donne-moi le rapport.

Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 19:08:26
voici le dernier rapport d'adware  http://up.security-x.fr/file.php?h=R66e05f133b15c57247df2b354aa07dac
Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 19:16:25
voici le rapport de FSS  http://up.security-x.fr/file.php?h=Rdb4bbec91f54df1beb20393430bf5ec8

Merci
Titre: Re : Aide logiciel indisérable, pubs
Posté par: hyunkel30 le novembre 14, 2013, 19:35:05
Re,

Pourras-tu me fournir ce rapport s'il te plait :
AdwCleaner[S0].txt

Puis, fais ceci :

Relance FRST :

Poste les deux rapports générés.

Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 19:40:12
j'ai pas tout compris, pouvez vous me préciser cette étape : "Pourras-tu me fournir ce rapport s'il te plait :
AdwCleaner[S0].txt"
Titre: Re : Aide logiciel indisérable, pubs
Posté par: hyunkel30 le novembre 14, 2013, 19:57:04
Re,

Cherche sur ton pc (celui qui n'est plus connecté), ce rapport précis, il doit se trouver à la racine de ton disque dur, donc :
Ordinateur -> C:\

Ou lance une recherche de fichier pour le trouver.

 :AAN
Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 20:44:17
voici le lien adwareS0 http://up.security-x.fr/file.php?h=Rf87772d047c9861d390bbf7ba0200a0d

(désolé pr le temps de réponse mais j'étais en train de diner)

les deux autres liens vont arriver
Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 20:45:53
voici le lien FRST addition  http://up.security-x.fr/file.php?h=R5aaaa79bfd8eb9e75ebd01aa8d854320
Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 20:50:43
http://up.security-x.fr/file.php?h=Rfbf67543ea74864d20ba2d930698aa85
Titre: Re : Aide logiciel indisérable, pubs
Posté par: hyunkel30 le novembre 14, 2013, 21:47:46
Re,

Bon, c'est peut-être plutôt la désinstallation de HotspotShield qui provoque l'erreur.

à faire :

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images (http://forum.security-x.fr/windows-7/%28tutoriel%29-creer-un-point-de-restauration-sous-windows-7/) /!\

start
DisableService: taphss6
CMD: SC delete taphss6
2013-11-04 14:51 - 2013-11-02 00:31 - 00044744 _____ (AnchorFree Inc.) C:\windows\system32\Drivers\hssdrv6.sys
2013-11-02 00:34 - 2013-11-02 00:34 - 00042184 _____ (Anchorfree Inc.) C:\windows\system32\Drivers\taphss6.sys
Task: {8994DD75-FF2F-4A55-A8FC-197EB6C49636} - \Express FilesUpdate No Task File
Task: {BDFEAA55-ABCF-47F4-B700-EBA54F9C1358} - \Scheduled Update for Ask Toolbar No Task File
end
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 22:11:10
voilà chef http://up.security-x.fr/file.php?h=Rdfe60d57bdbe786991c51351d6fe99e1

vous pensez que mon pb est grave ?
Titre: Re : Aide logiciel indisérable, pubs
Posté par: hyunkel30 le novembre 14, 2013, 22:16:27
Re,

Tu n'aurais pas passé deux fois le Fix ?

Le problème de connexion est toujours présent ?
Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 22:20:07
oui je crois que j'ai passé deux fois le fix sans faire exprès, oui le pb de connection est tjrs là... du cou je fais quoi ?
Titre: Re : Aide logiciel indisérable, pubs
Posté par: hyunkel30 le novembre 14, 2013, 22:45:05
Re,

On va réparer la connexion si possible, sinon on restaurera avant le problème au pire.

à faire :

Télécharge Windows Repair (http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio_setup.exe) (de Tweaking.com) sur ton bureau.

Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 22:57:18
merci pour ton aide
mais j'ai deux questions:
Quelle version de windows repair je télécharge ?
et je ne vois pas comment l'installer sur mon pc qui n'a pas de connection internet...
Titre: Re : Aide logiciel indisérable, pubs
Posté par: hyunkel30 le novembre 14, 2013, 23:08:24
Re,

Tu télécharge depuis le pc connecté et transfère via clé usb, comme toujours ;)

je te remet le lien direct ici :
http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio_setup.exe
Titre: Re : Aide logiciel indisérable, pubs
Posté par: llobdo le novembre 14, 2013, 23:22:43
ok je vais faire ce que tu me dis et normalement apres ca je retrouve une connection ?
Titre: Re : Aide logiciel indisérable, pubs
Posté par: hyunkel30 le novembre 15, 2013, 09:55:36
Re,

Je ne peux t'assurer de rien, tu fais la procédure, et on voit si cela évolue ou pas ;)