Security-X
Forum Security-X => Désinfections => Discussion démarrée par: raboteux le mai 20, 2015, 16:42:37
-
Bonjour à tous,
Inscrit depuis un moment cela est mon premier post.
Tout heureux de m'être offert un portable avec Windows 8.1, voilà que depuis le début j'ai à l'ouverture du PC un navigateur "degrol.com qui s'ouvre. Je n'arrive pas à m'en débarrasser
Un coup de main, une solution ?
Merci
bonjour maître Hyunkel.
-
:AAC Salut raboteux, heureux de te lire ici ;)
Allez, regardons cela, mais c'est une infection par adwares, logiciels publicitaires installés "volontairement", car les utilisateurs de ce pc ne sont pas assez vigilants, et ne décochent pas les sponsors proposés avec l'installation de certains programmes "gratuits".
à faire pour un premier diagnostic :
Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.
Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Clique sur le bouton Scan.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
http://up.security-x.fr/file.php?h=R2f32de006248175451c3710eed4b2b4d
http://up.security-x.fr/file.php?h=R4fe266a5c4538e5bc576a5e1696c879e
merci :AAC
-
Re,
Déjà bien infecté pour un pc "neuf" ... Remarque Lenovo est aussi connu pour embarquer des adwares dès le départ ...
Faudrait vraiment être plus vigilant lors de l'installation des logiciels pour décocher les sponsors ...
à suivre pour le ménage :
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- Buzzdock (adware)
- Firefox Packages (package d'installation contenant des adwares)
- Host App Service (adware)
- Lenovo Browser Guard (malheureusement un adware lié à ton constructeur ...)
- Lenovo Web Start (idem)
- Sale Charger (adware)
- Start Menu (malheureusement un adware lié à ton constructeur ...)
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
CloseProcesses:
EmptyTemp:
CreateRestorePoint:
Task: {B7EEAE8D-7932-48EF-8902-8965185704F6} - \Dregol tisi No Task File <==== ATTENTION
C:\ProgramData\322cb724-1680-423d-8862-1b52ca5027ad
C:\Program Files (x86)\Common Files\322cb724-1680-423d-8862-1b52ca5027ad
C:\Users\Noël\AppData\Local\Pokki
HKU\S-1-5-21-2323686980-3280356362-1200326652-1002\...\Run: [Pokki] => "%LOCALAPPDATA%\Pokki\Engine\HostAppServiceUpdater.exe" /LOGON
HKU\S-1-5-21-2323686980-3280356362-1200326652-1002\...\Run: [GoogleChromeAutoLaunch_7FBE183805BCF974D4C81DAE8F39E025] => C:\Users\Noël\AppData\Local\Chromium\Application\chrome.exe [656896 2015-05-10] (The Chromium Authors)
AppInit_DLLs: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC64~1.DLL => C:\Program Files (x86)\LenovoBrowserGuard\LenovoBrowserGuard\bin\SPVC64Loader.dll [206152 2014-07-22] (ClientConnect LTD)
AppInit_DLLs-x32: C:\PROGRA~3\{72AD9~1\1170~1.1\tisi.dll => C:\ProgramData\{72AD9A6E-222F-4BE8-93A9-3B6A432BE8E4}\1.17.0.1\tisi.dll [778752 2015-05-16] ()
AppInit_DLLs-x32: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC32~1.DLL => C:\Program Files (x86)\LenovoBrowserGuard\LenovoBrowserGuard\bin\SPVC32Loader.dll [173896 2014-07-22] (ClientConnect LTD)
C:\ProgramData\{72AD9A6E-222F-4BE8-93A9-3B6A432BE8E4}
C:\Program Files (x86)\LenovoBrowserGuard
HKU\S-1-5-21-2323686980-3280356362-1200326652-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage-web.com/?s=lenovo&m=start
HKU\S-1-5-21-2323686980-3280356362-1200326652-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lenovo13.msn.com/?pc=LCJB
HKU\S-1-5-21-2323686980-3280356362-1200326652-1002\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://mystart.lenovo.com
HKU\S-1-5-21-2323686980-3280356362-1200326652-1002\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://mystart.lenovo.com
SearchScopes: HKLM -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL =
SearchScopes: HKU\S-1-5-21-2323686980-3280356362-1200326652-1002 -> {1B291CA9-8EEF-40F5-901C-0392E33578C3} URL =
SearchScopes: HKU\S-1-5-21-2323686980-3280356362-1200326652-1002 -> {28126C7C-FDFB-11E4-8261-D053494EC1CC} URL = http://search.homepage-web.com/?src=omnibox&partner=lenovo&q={searchTerms}
BHO-x32: Sale Charger -> {7a38e53c-e000-41e4-9b5a-47447db81c2b} -> C:\Program Files (x86)\Sale Charger\Extensions\7a38e53c-e000-41e4-9b5a-47447db81c2b.dll [2015-05-16] ()
C:\Program Files (x86)\Sale Charger
FF Extension: Sale Charger - C:\Users\Noël\AppData\Roaming\Mozilla\Firefox\Profiles\hxgvzkkx.default\Extensions\{85788c43-d871-40cf-9365-686173d382bb}.xpi [2015-05-17]
R2 Service Mgr SaleCharger; C:\ProgramData\322cb724-1680-423d-8862-1b52ca5027ad\plugincontainer.exe [556304 2015-05-21] () <==== ATTENTION
R2 Update Mgr SaleCharger; C:\Program Files (x86)\Common Files\322cb724-1680-423d-8862-1b52ca5027ad\updater.exe [478992 2015-05-21] () <==== ATTENTION
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- Le pc va demander à redémarrer, accepte.
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
3) Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Scanner.
- Attend la fin de la recherche puis clique sur l'option Rapport.
- Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
- Ferme le programme, valide l'avertissement au besoin.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Merci pour ton aide, mais comme souvent tout ne roule pas comme il faudrait.
Je n'arrive pas à désinstaller "Firefox Packages".
Je me plante dans la deuxième partie :
Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
Ferme toutes les applications, y compris ton navigateur
Double-clique sur FRST.exe
J'ai bien les éléments mais ne sait pas comment faire.
désolé
-
Re,
Pas grave pour le programme, je l'indique ;)
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
Explique-moi ensuite sur quoi tu bloques pour la suite de la procédure.
-
:AAC
J'ai 1 icone FRST64 et 1 icone fixlisttxt les 2 en raccourci. Là j'en fais quoi ? j'ai du loupé une étape !
-
Re,
Et bien si tu avais enregistré FRST sur le bureau comme demandé, et non dans ton dossier "Téléchargement"/"Download", comme on voit sur le rapport :
Running from C:\Users\Noël\Downloads
Y'aurait pas ce souci ;D
Donc, va chercher FRST64.exe dans le dossier "téléchargement", copie-le sur ton bureau (et non un raccourci), puis applique la procédure ;)
-
http://up.security-x.fr/file.php?h=Rf87646848ad35350134ec433c8b5c1d3
Pour Adwarecleaner McAfee me le met en quarantaine pour cheval de troie
:AAC a plus
-
Re,
Ok pour le rapport FRST
Concernant Adwcleaner, passe outre l'alerte de McAfee si possible, ou désactive-le le temps de lancer Adwcleaner.
:AAN
-
http://up.security-x.fr/file.php?h=R7cbcc0fd10aeb7d0294b3a8db3266916
-
Re,
Ok, à suivre :
Relance Adwcleaner :
/!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Scanner.
- Attend la fin de la recherche puis clique sur l'option Nettoyer.
- Valide l'avertissement.
- Si le pc demande à redémarrer, accepte.
- Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
http://up.security-x.fr/file.php?h=R6a76f98e4451f4a9a0655d007e53dafb
je voudrais savoir si je peux supprimer tous les trucs Lonovo qui encombrent et ne servent pas ou doublent d'autres logiciels. Très habitué à tous ceux que j'utilise encore sur mon fixe encore sous XP. bien sûr qu'il faut faire attention aux compatibilités.
:BAN :BAN merci à toi
-
Re,
Non, mieux vaut éviter, je t'ai fais supprimer ce qui était inutile/dangereux, le reste est lié à des fonctionnalité du pc (webcam, gravure, etc ...), donc mieux vaut ne pas désinstaller.
As-tu encore des soucis avec degrol.com ou autre à présent ?
-
:sup: non j'en suis débarrassé tout semble fonctionner normalement. Faut-il fermer le sujet et si oui comment
-
Re,
Allez, on conclut alors ;)
Télécharge DelFix (https://toolslib.net/downloads/finish/2/) (de Xplode) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Ne touche pas aux options cochées
- Coche en plus "Purger la restauration système"
- Clique sur le bouton "Exécuter"
- Laisse travailler l'outil.
- Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.
Prévention :
Ton PC a été infecté par des adwares, à savoir des logiciels potentiellement indésirables qui se mettent en place lors des installations de logiciels.
Il faut donc que les utilisateurs de ce PC veillent à ne pas donner leur accord pour que ceux-ci s'installent lors des installations de logiciels (en décochant par exemple les cases précochées qui autorisent l'installation d'un moteur de recherche).
Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter/) en utilisant cet outil :
Télécharge Adware Prevention (http://security-x.fr/~guigui0001/Adware_Prevention.exe) (de guigui0001) sur ton bureau.
Sous IE9, IE10, IE11 et Windows 8 le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Lance-le en double-cliquant sur Adware_Prevention.exe
- Cet outil va simuler une installation sponsorisée par des adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
- A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
Tutoriel en images (http://forum.security-x.fr/tutoriels-317/s%27entrainer-a-ne-pas-installer-des-logiciels-indesirables-avec-adware-prevention/)
- Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !
Note : cet outil pédagogique tant à évoluer en permanence, n'hésite pas à remonter les problèmes rencontrés ou les suggestions pour son amélioration
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/) et à lire (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : Ghostery (https://chrome.google.com/webstore/detail/ghostery/mlomiejdfkolichcflejclcbmpeaniij?hl=fr) ou Scriptsafe (https://chrome.google.com/webstore/detail/scriptsafe/oiigbmnaadbkfbmpbfijlflahbdbdgdf) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux utiliser un outil comme SXCU (http://forum.security-x.fr/tutoriels-317/(tutoriel)-sx-checkupdate/) pour vérifier occasionnellement les mises à jour disponibles pour les principaux logiciels/plugins.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.tomsguide.fr/forum/id-2134891/prevention-protection-securiser-ordinateur.html)
Ici aussi ! (http://www.tomsguide.fr/forum/id-416930/dossier-prevention-protection.html)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
# DelFix v1.010 - Rapport créé le 25/05/2015 à 08:09:04
# Mis à jour le 26/04/2015 par Xplode
# Nom d'utilisateur : Noël - ARTHUR
# Système d'exploitation : Windows 8.1 Connected (64 bits)
~ Suppression des outils de désinfection ...
~ Purge de la restauration système ...
Supprimé : RP #3 [Programme d’installation pour les modules Windows | 05/16/2015 09:35:30]
Supprimé : RP #4 [Installed Lenovo Solution Center. | 05/17/2015 13:43:10]
Supprimé : RP #5 [Installé WinZip 19.5 | 05/21/2015 14:52:27]
Supprimé : RP #7 [Restore Point Created by FRST | 05/24/2015 07:46:31]
Nouveau point de restauration créé !
########## - EOF - ##########