Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Jean Germain Junior le juin 25, 2017, 08:27:10
-
Bonjour,
Il y a quelques temps, j'ai voulu installer un driver pour une tablette graphique. Ne l'ayant pas trouvé sur le site de wacom, j'ai essayé depuis un autre site et manque de bol, je me suis retrouvé contaminé.
Maintenant, Peu importe l'explorateur (chrome, firefox, opéra) j'ai des onglets de pub qui apparaissent très régulièrement dès que je clique (et même pas forcément sur un lien, même dans une zone vide ça le fait). Souvent ces onglets sont même bloquants (si je ne les ferme pas assez vite) en voulant me forcer à installer des extensions. Quand ça arrive, je suis obligé de faire planter l'explorateur pour m'en sortir.
Avast ne me trouve aucun virus
J'ai cherché des solutions et FRST semble en être une. Mais je suis coincé avec quoi mettre dans le fichier fixlist.
Quelqu'un/e serait en mesure de me venir en aide?
Merci d'avance
-
Bonjour
Je suis longaripa.
==========================================================================
Je suis en formation sécurité , et je vais prendre votre sujet en charge .
Toutes mes interventions seront validées par un expert en sécurité de ce forum .
==========================================================================
Nous allons commencer par établir un diagnostic du PC . Pour cela ,
Télécharger Farbar Recovery Scan Tool (de Farbar) sur le Bureau.(IMPORTANT)
Attention: Il faut lancer la version compatible avec le système : 32 ou 64bits.
Cliquer ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Cliquer ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version de Windows j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Faire un click droit sur l'outil, puis executer en tant qu'administrateur pour le lancer. Quand l'outil se lance, cliquer sur Oui pour accepter le disclaimer.
- Cliquer sur le bouton Analyser.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt.
Poster les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : déposer le fichier via "parcourir" et poster simplement les liens obtenus dans votre réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
J'attends les rapports :
frst.txt
addition.txt
-
merci pour votre réponse. Voici les liens:
FRST:
https://up.security-x.fr/file.php?h=R7a635aea27e96385f357a9cc25ac323b
addition:
https://up.security-x.fr/file.php?h=R4bb8112dc5e6a2e3773f122fd26bbbcc
-
Re
Merci pour les rapports .
Je les regarde, je fais valider mes réponses , et je reviens .
:AAN
-
Re bonjour
Tout d'abord , est-ce que votre version de Windows 7 integrale est légale ? Avez-vous la licence ?
Les outils de désinfection que nous utilisons sont puissants et peuvent avoir des effets inattendus sur des systèmes illégaux.
1) Désinstallation de certains programmes
Dans le panneau de configuration >>> Programmes et fonctionalités
désinstallez les programmes suivants (si l'un d'entre eux pose un probleme , laissez le tomber et passez au suivant
QuickTime 7 (obsolete , plus maintenu par apple et présente des failles de sécurité)
Spybot Search&Destroy (obsolete et inutile )
Java 8 Update 101 (version obsolete)
Java 8 Update 40 (version obsolete)
2) Correction a apporter :
Désactiver l'antivirus avant la procédure.
- Fermer toutes les applications, y compris le navigateur
- Clic-droit sur FRST.exe-> Exécuter en tant qu'administrateur
- Appuyer simultanément sur les touches Ctrl + y. Un fichier fixlist.txt s'ouvre
- Copier/coller la totalité du contenu de la zone Code ci-dessous dans ce fichier
start
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [SDTray] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe [5624784 2013-07-25] (Safer-Networking Ltd.)
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
BootExecute: autocheck autochk * sdnclean64.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.
HKU\S-1-5-21-3941232047-1776327551-2381647155-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.
SearchScopes: HKU\S-1-5-21-3941232047-1776327551-2381647155-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\4545198.js [2017-01-16] <==== ATTENTION (Pointe vers un fichier *.cfg)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\4545198.cfg [2017-01-16] <==== ATTENTION
Spybot - Search & Destroy (HKLM-x32\...\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1) (Version: 2.2.25 - Safer-Networking Ltd.)
Task: {19E6FB03-DC24-4227-8CFE-A5B9F7CEB069} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe [2013-09-20] (Safer-Networking Ltd.)
Task: {25FFA29E-E925-495B-AB73-67D5FA957C7A} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [2013-09-20] (Safer-Networking Ltd.)
Task: {31A7899B-DD83-44DD-9C83-6D7B249D0423} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [2013-09-20] (Safer-Networking Ltd.)
2014-04-16 01:17 - 2012-08-23 10:38 - 00574840 _____ () C:\Program Files (x86)\Spybot - Search & Destroy 2\sqlite3.dll
2014-04-16 01:17 - 2013-05-16 10:55 - 00113496 _____ () C:\Program Files (x86)\Spybot - Search & Destroy 2\snlThirdParty150.bpl
2014-04-16 01:17 - 2013-05-16 10:55 - 00416600 _____ () C:\Program Files (x86)\Spybot - Search & Destroy 2\DEC150.bpl
2014-04-16 01:17 - 2013-05-16 10:55 - 00161112 _____ () C:\Program Files (x86)\Spybot - Search & Destroy 2\snlFileFormats150.bpl
2014-04-16 01:17 - 2012-04-03 17:06 - 00565640 _____ () C:\Program Files (x86)\Spybot - Search & Destroy 2\av\BDSmartDB.dll
C:\Program Files (x86)\Spybot - Search & Destroy 2
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [278]
AlternateDataStreams: C:\Users\Simon\Local Settings:UQsnaxzqfBPnRvlB [1994]
AlternateDataStreams: C:\Users\Simon\AppData\Local:UQsnaxzqfBPnRvlB [1994]
AlternateDataStreams: C:\Users\Simon\AppData\Local\Application Data:UQsnaxzqfBPnRvlB [1994]
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe] => Enabled:Spybot-S&D 2 Tray Icon
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe] => Enabled:Spybot-S&D 2 Scanner Service
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe] => Enabled:Spybot-S&D 2 Updater
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe] => Enabled:Spybot-S&D 2 Background update service
EmptyTemp:
end
- Appuyer simultanément sur les touches Ctrl + s pour enregistrer, puis refermer le fichier fixlist.txt
- Sur le menu principal de FRST, cliquer une seule fois sur Corriger et patienter le temps de la correction
(https://up.security-x.fr/file.php?h=R958c4d67db53859426347f7e80a20ca8)
- Accepter le redémarrage du système si demandé
- L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Une fois que le systeme aura redémarré :
AdwCleaner - Analyser :
- Télécharger AdwCleaner (https://toolslib.net/downloads/finish/1/) de Malwarebytes et enregistrer le fichier sur le Bureau
Patienter le temps que le navigateur propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
- Fermer toutes les applications, y compris le navigateur
- Clic-droit -> Exécuter en tant qu'administrateur sur l'icône AdwCleaner.exe pour lancer l'outil
- Sur le menu principal, cliquer sur Analyser
- Les éléments détectés s'affichent dans les différents onglets. Cliquer sur Rapport
- Un rapport AdwCleaner(Sx).txt s'ouvre. Poster ce rapport dans la prochaine réponse
Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
Si l'antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)
Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)
Il y a 2 rapports à poster :
fixlog.txt
AdwCleaner(Sx).txt
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : déposer le fichier via "parcourir" et poster simplement les liens obtenus dans votre réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
merci!
Je ne suis pas chez moi ces jours ci, j'essaierai à mon retour.
Je dois dire que oui, ma version de windows n'est pas légale. Je sais, ce n'est pas bien. Il m'avait été monté par un proche qui me l'avait proposé...
Je ferai une copie de mes fichiers vitaux, si jamais ça devait mal finir
-
Re Bonjour
Je dois dire que oui, ma version de windows n'est pas légale
Pour des raisons éthiques, légales et techniques, et conformément aux règles de cette section et comme sur la plupart des forums, nous ne prenons pas en charge des systèmes comportant cracks et logiciels installés illégalement.
C'est un risque majeur pour la sécurité.
D'autre part, les outils de désinfection que nous utilisons sont puissants et peuvent avoir des effets inattendus sur des systèmes illégaux.
Je n'interviens donc pas sur une machine munie d'un systeme illégal.
Je vous déconseille d'utiliser des logiciels de désinfection automatiques , cela pourrait endomager votre systeme .
Mon intervention s'arrête donc là.
Désolé .
:AAN
-
tant pis pour moi alors.
J'aimerais juste une info tout de même si ce n'est trop demandé. Ce genre de contamination se limite t'elle à être une gène lors de l'utilisation d'internet, ou est ce que ça peut cacher trop choses, style trojan?
-
Bonjour
Pour moi , ca devrait se limiter à des pages internet qui s'ouvrent, et générent du traffic.
La présence d'un trojan n'est pas completement à exclure.
Je vous conseillerais de vous mettre en conformité:
acheter une licence (la version ultimate n'a aucun interet, choisir une version home ou pro , a la rigueur). réinstaller proprement .
Cela permettrait de partir sur une installation propre, d'etre dans la légalité , et de pouvoir demander assistance sur les forums le cas échéant.
:AAN
-
ok; merci quand même. :AAN