Security-X
Forum Security-X => Désinfections => Discussion démarrée par: azalea97490 le novembre 01, 2013, 20:56:33
-
bonjour, je reviens vers vous pour un nouveau problème, vu que vous m'avez été d'une grande aide la derniere fois.
Depuis ce matin je suis infecté par qone8 suite a la fausse mise à jour d'un logiciel et depuis impossible de m'en débarrasser.
J'espère que vous pourrez m'aider à nouveau
-
Bonsoir à toi :D
Comme la dernière fois avec l'autre helper/formateur, suis les indications à la lettre :)
----------------------------------------------------------------------------------------------------------
FRST :
- Sur cette page, télécharge la version FRST (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau
Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ? (http://forum.security-x.fr/desinfections/procedure-preliminaire/msg51582/#msg51582)
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- A la fin du scan, un rapport FRST.txt s'ouvre.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt
- Héberge ces rapports sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
----------------------------------------------------------------------------------------------------------
-
merci pour la rapidité de la réponse
voila les rapports :
FRST
http://up.security-x.fr/file.php?h=R52cbfe73c9e8409a3bdcd0a06abdca6d
Addition
http://up.security-x.fr/file.php?h=R8c4836228bce0bccd915748ff50b6fb1
-
Re,
----------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------
Désinstallations des Adwares/PUP/Logiciels non à jour
- Va dans le panneau de configuration.
- Clique sur ajouter/supprimer des programmes.
- Désinstalle si présent :
Iminent (x32 Version: 6.37.21.0)
----------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------
AdwCleaner - Suppression :
- Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) de Xplode et enregistre le fichier sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Scanner
- Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
- Patiente le temps de l'analyse et valide le message d'informations
- Un redémarrage est demandé, valider par OK
- Au redémarrage, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner(S).txt
----------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------
FRST - Correctif :
/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images (http://forum.security-x.fr/windows-7/%28tutoriel%29-creer-un-point-de-restauration-sous-windows-7/) /!\
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
Task: {079C6E93-75B3-4F6A-9638-E6A00853A2A8} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe
C:\Program Files\Enigma Software Group
Task: {8FD9F589-BF51-40DC-9D81-618E79CD6D17} - System32\Tasks\BoxSoftwareUpdate => C:\ProgramData\BoxUpdChk\updchk.exe [2013-08-16] ()
C:\ProgramData\BoxUpdChk
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.qone8.com/web/?type=ds&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://start.qone8.com/web/?type=ds&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.qone8.com/web/?type=ds&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://start.qone8.com/web/?type=ds&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX&q={searchTerms}
Handler-x32: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File
Handler-x32: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File
FF NewTab: hxxp://start.qone8.com/newtab/?type=nt&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX
FF DefaultSearchEngine: qone8
FF SelectedSearchEngine: qone8
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\qone8.xml
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://start.qone8.com/?type=sc&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX
CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://start.qone8.com/?type=sc&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX
CHR HomePage: hxxp://start.qone8.com/?type=hp&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX
CHR RestoreOnStartup: "hxxp://start.qone8.com/?type=hp&ts=1383316382&from=tugs&uid=HitachiXHTS543232A7A384_120208E2M3123328YRSMX"
CHR Extension: ( "name": "Smart Display",) - C:\Users\Ida\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.6_0
2013-11-01 16:02 - 2013-11-01 16:02 - 00000000 _____ C:\autoexec.bat
2013-11-01 15:34 - 2013-11-01 15:34 - 00003284 _____ C:\Windows\System32\Tasks\BoxSoftwareUpdate
C:\Users\Ida\AppData\Local\Temp\BackupSetup.exe
C:\Users\Ida\AppData\Local\Temp\BoxoreInstaller.exe
C:\Users\Ida\AppData\Local\Temp\Java7.exe
C:\Users\Ida\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe
C:\Users\Ida\AppData\Local\Temp\SHSetup.exe
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DRb67de5e163db255d6bd8df3e5be3e0b5&hash=6a5978bf0f5ca76f22838282e793ec5b26837878)
- L'outil va créer un rapport de correction Fixlog.txt. Poste le sur ce site d'hébergement en ligne (http://"http://up.security-x.fr").
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
----------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Suis cette procédure pour Arrêter la synchronisation et supprimer les données de Google :
Supprimer des données synchronisées de votre compte Google
Vous pouvez supprimer les données synchronisées de votre compte Google à tout moment depuis votre tableau de bord Google Dashboard (http://www.google.com/dashboard).
1. Cliquez sur le menu Google Chrome (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fstorage.googleapis.com%2Fsupport-kms-prod%2FSNP_2696434_en_v1&hash=fc66700ec2e3428b4396e4069d8aab95e9980a23) dans la barre d'outils du navigateur.
2. Sélectionnez Connecté en tant que <votre adresse e-mail>.
3. Dans la section "Connexion", cliquez sur Google Dashboard.
4. Accédez à la section "Synchronisation de Google Chrome" du tableau de bord, puis cliquez sur Arrêter la synchronisation et supprimer les données de Google.
La synchronisation est désactivée, et toutes les données synchronisées qui ont été enregistrées dans votre compte Google sont supprimées. Elles sont toutefois conservées sur votre ordinateur. Cela signifie que des informations telles que les favoris, les applications et les extensions présentes sur l'ordinateur que vous utilisez n'apparaîtront pas si vous vous êtes connecté à Google Chrome depuis un autre ordinateur et avez activé la synchronisation sur celui-ci.
Support Google Chrome (http://support.google.com/chrome/bin/answer.py?hl=fr&answer=185277)
Merci Chantal11 pour le canned
----------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------
Malware Byte AntiMalware
Télécharge MalwareByte's Anti-Malware (http://www.techspot.com/downloads.php?action=download_now&id=4716&evp=1dfffb7bed89b05734ff3b1e78ee7ff0&file=1) sur ton Bureau.
- Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées :
- Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
- Afin de lancer la recherche, clic sur"Rechercher".
- Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
[#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]
Note : Si tu ne parviens à télécharger MBAM à part de MajorGeeks, tu peux le télécharger ici! (http://www.besttechie.net/tools/mbam-setup.exe)
[#FF0000]Aide[/#FF0000] : - Comment utiliser MBAM (http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam).
Aide en Image (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-malwarebyte%27s-anti-malware/)
Poste le rapport sur ce site d'hebergement en ligne UP SX (http://up.security-x.fr/)
Le rapport se nomme ainsi mbam-log-année-mois-jour(heure).txt
----------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------
SX Check&Update :
- Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) et enregistre-le sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Rapport
- Heberge le rapport sur http://up.security-x.fr/ et poste le lien dans ta nouvelle réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)
----------------------------------------------------------------------------------------------------------
Comment se comporte ton pc maintenant ?
J'attend donc les rapports :
ADWCleaner[S1].txt
fixlog.txt
rapport_sx.txt
mbam.txt
-
Bonjour
donc j'ai suivi a la lettre les instructions et plus de trace de qone8 !!!! :BAN
merci bcp
donc voila les rapports demandés :
ADWCleaner
http://up.security-x.fr/file.php?h=R40e66e903458acf96b63e3b9dea1ad02
fixlog
http://up.security-x.fr/file.php?h=Re9d776bf7f2a43abd905dc38f2429a59
rapport_sx
http://up.security-x.fr/file.php?h=R97ac089388dd06b5e9f16f01f5070727
mbam
http://up.security-x.fr/file.php?h=R07ca719eb40fc4725a0cc19c5a20ee58
et encore une fois merci pour tout
-
:AAC
C'est tout bon de mon côté, on va donc finir comme la dernière fois :)
----------------------------------------------------------------------------------------------------------
Temp File Cleaner
- Télécharge TFC (http://oldtimer.geekstogo.com/TFC.exe) de OldTimer et enregistre-le sur ton Bureau
- Ferme toutes les applications en cours
- Double-clique sur TFC.exe sur ton Bureau
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
- Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage
----------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------
Dell Fix
Télécharge DelFix (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/9-delfix) (de Xplode) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coches les cases suivantes :
- * Supprimer les outils de désinfections.
- * Purge de la restauration système.
- Clique sur le bouton "Exécuter"
- Laisse travailler l'outil.
- Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.
- Supprime tous les outils et rapports restant manuellement, n'oublie pas de vider ta corbeille par la suite.
----------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------
Recommandations et conseils
- Pourquoi et comment je me fais infecter ? (http://forum.malekal.com/pourquoi-et-comment-je-me-fais-infecter-t3259.html)
Il faut toujours privilégier le téléchargement d'une application sur le site de l'éditeur, cela évite d'avoir de mauvaises surprises, comme des PUBS.
/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
- Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-malwarebyte%27s-anti-malware/)
- Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Vérifier aussi d'avoir toujours la dernière version de Java (http://java.com/fr/download/manual.jsp) et Flash Player (http://get.adobe.com/fr/flashplayer/)
Il faut l'installer Flash Player sous chaque navigateur présent sur le système
Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
Il faut ABSOLUMENT maintenant son PC à jour, sur adobe (reader/flash), java et windows update. Sans mise à jour, ils deviennent les vecteurs principaux d'infection, et souvent les plus dangereuses !
La meilleur protection contre les Pubs/PUP/Malwares, c'est TOI !
Evite les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
Pour en savoir plus, clique sur l'image pour télécharger ce PDF
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)
----------------------------------------------------------------------------------------------------------
Comment marquer son sujet résolu ?
- Clique sur le bouton : Meilleur solution (quand le sujet le permet)
- Le sujet sera alors automatiquement passé en résolu
- Sinon édite ton premier message et rajoute [Résolu] dans le titre.
----------------------------------------------------------------------------------------------------------
Ravis d'avoir pu t'aider :)
-
Re !
voila le rapport
# DelFix v10.5 - Rapport créé le 02/11/2013 à 16:59:00
# Mis à jour le 17/10/2013 par Xplode
# Nom d'utilisateur : Ida - PC-IDA
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
~ Suppression des outils de désinfection ...
Supprimé : C:\FRST
Supprimé : C:\AdwCleaner
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Users\Ida\Desktop\Addition.txt
Supprimé : C:\Users\Ida\Desktop\AdwCleaner.exe
Supprimé : C:\Users\Ida\Desktop\Fixlog.txt
Supprimé : C:\Users\Ida\Desktop\FRST.txt
Supprimé : C:\Users\Ida\Desktop\FRST64.exe
Supprimé : C:\Users\Ida\Desktop\rapport_SX.txt
Supprimé : C:\Users\Ida\Desktop\SXCU.exe
Supprimé : C:\Users\Ida\Desktop\TFC.exe
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
~ Purge de la restauration système ...
Supprimé : RP #181 [Uniblue SpeedUpMyPC installation | 11/01/2013 14:33:07]
Supprimé : RP #182 [Removed Boxore Client | 11/01/2013 14:37:06]
Supprimé : RP #183 [Installed SpyHunter | 11/01/2013 15:01:00]
Supprimé : RP #184 [Installed Rapport | 11/01/2013 15:24:01]
Supprimé : RP #185 [Removed SpyHunter | 11/01/2013 16:50:00]
Supprimé : RP #186 [security | 11/02/2013 13:00:32]
Nouveau point de restauration créé !
########## - EOF - ##########
encore merci