Security-X
Forum Security-X => Désinfections => Discussion démarrée par: cirbouille le avril 11, 2017, 08:38:18
-
Bonjour, comme il m'a été demandé dans un précédent déterrage de post, j'en ouvre un nouveau.
Toutes mes excuses pour ne pas avoir lu plus précisément les règles :-\
Donc, tout comme le post cité, j'ai un reliquat de "onconnect", prg décathlon qui permet de récolter les infos d'un cardiofréquencemètre, qui reste quelque part et qui se manifeste à chaque branchement d'un appareil en usb.
Je souhaite donc l'anéantir :hun: . J'ai suivi la procédure décrite dans le vieux post et voici les liens FRST qui vont bien et j'espère que qqu'un pourra me donner la suite à donner.
Par avance merci.
https://up.security-x.fr/file.php?h=R86eef08cb5ab29bbdf162d084bd52137
https://up.security-x.fr/file.php?h=Recc433af66c367e8b95d97b0574a1f8d
-
:AAC Bonjour cirbouille,
Tu as surtout une infection très dangereuse sur ce système, zeroaccess
C'est un voleur de donnée, tu as donc potentiellement été sujet à du vol de donnée personnel depuis qu'il est sur ton PC ...
à faire :
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- Ace Stream Media 3.1.16.1 (application sponsorisée par des adware (logiciels publicitaires)
- QuickTime 7 (logiciel obsolète, vulnérable, non maintenu à jour par Apple)
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
CreateRestorePoint:
CloseProcesses:
CustomCLSID: HKU\S-1-5-21-1522356102-586857682-565622066-1001_Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32 -> C:\Users\Cirbouille\AppData\Local\{50c89402-ff38-2899-3c1e-68f549c10ebf}\n. => Pas de fichier
C:\Users\Cirbouille\AppData\Local\{50c89402-ff38-2899-3c1e-68f549c10ebf}
Task: {BC9B0E18-2B34-4A45-B8E2-35235B830864} - System32\Tasks\{7614F627-5D48-4662-84CD-D67BE19F530B} => pcalua.exe -a C:\Users\CIRBOU~1\AppData\Local\Temp\InstallFlashPlayer.exe -d "C:\Program Files (x86)\Mozilla Firefox" <==== ATTENTION
HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2014-10-02] (Apple Inc.)
HKU\S-1-5-21-1522356102-586857682-565622066-1001\...\Run: [ONconnectService] => C:\Program Files (x86)\ONconnect\resources\service\win\ONconnect_service.exe [2801664 2014-10-23] ()
HKU\S-1-5-21-1522356102-586857682-565622066-1001\...\Run: [AceStream] => C:\Users\Cirbouille\AppData\Roaming\ACEStream\engine\ace_engine.exe [28024 2017-03-20] (Innovative Digital Technologies)
C:\Program Files (x86)\ONconnect
HKU\S-1-5-21-1522356102-586857682-565622066-1001\...0c966feabec1\InprocServer32: [Default-shell32] C:\Users\Cirbouille\AppData\Local\{50c89402-ff38-2899-3c1e-68f549c10ebf}\n. ATTENTION
IFEO\DatamngrCoordinator.exe: [Debugger] tasklist.exe
BHO-x32: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll [2009-01-26] (Safer Networking Limited)
C:\Program Files (x86)\Spybot - Search & Destroy
Toolbar: HKU\S-1-5-21-1522356102-586857682-565622066-1001 -> Pas de nom - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Pas de fichier
FF ProfilePath: C:\Users\Cirbouille\AppData\Roaming\Oxylane\ONconnect\Profiles\rlc7xdve.default [2017-01-29]
C:\Users\Cirbouille\AppData\Roaming\Oxylane\ONconnect
FF Extension: (Java Console) - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} [2016-12-01] [non signé]
FF Extension: (Java Console) - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2016-12-01] [non signé]
FF Extension: (Java Console) - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} [2016-12-01] [non signé]
R2 SBSDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)
C:\Windows\Installer\{50c89402-ff38-2899-3c1e-68f549c10ebf}
EmptyTemp:
end- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- Le pc va demander à redémarrer, accepte.
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
Télécharge MalwareByte's Anti-Malware (http://www.malwarebytes.org/mwb-download/) :
- Installe le programme (aide ici (https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/msg155209/#msg155209))
- Lance-le et met à jour la base de définition si elle ne le fait pas automatiquement.
- Choisi ensuite "Analyse" (en haut), puis "Analyse des menaces" puis clique en bas sur "Lancer l'analyse"
- Si l'outil propose d'autres mises à jour, valide en cliquant sur Mettre à jour maintenant
- Laisse l'analyse se faire (cela peut durer longtemps).
- A la fin, si des infections sont détectées, clique sur l'alerte pour afficher les résultats :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBAM%2F3%2Fmbam-20bis.jpg&hash=97226b18474649fb2e8be3a3927b328e02c3f71e)
- Coche l'ensemble des éléments détectés (case en haut, à gauche de "Menace") puis clique sur "Supprimer la sélection" en bas. Enfin, clique sur "Terminer"
- Un redémarrage peut être nécessaire. Accepte en cliquant sur "Oui"
(aide en images ici (https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/msg155210/#msg155210))
- Au redémarrage du PC, relance Malwarebyte's
- Suis le tutoriel suivant (https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/msg155212/#msg155212) pour exporter le rapport
- Poste-le dans ta prochaine réponse.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Merci pour ces précieuses infos ! voici le lien fixlog :
https://up.security-x.fr/file.php?h=R219932fdb2c42d0e59d5ade4890a916b
Je fais malwarebytes dans la foulée ;-)
-
Et voilà le rapport MWB :
https://up.security-x.fr/file.php?h=Rbcd543bdb30ca0586faf94ce766c2597
encore merci...
-
Re,
Ok pour ces deux rapports.
On doit réparer quelques éléments de ton système que l'infection a dû endommager :
Télécharge Windows Repair (http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio_setup.exe) (de Tweaking.com) sur ton bureau.
Info : si le téléchargement ne démarre pas automatique, clique ici :
http://www.tweaking.com/content/page/windows_repair_all_in_one.html
Puis choisi : Installer (x.xx MB) => Direct Download
- Double-Clic dessus pour l'installer puis lance-le.
(Utilisateur de Vista/Windows 7/8/8.1 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Va directement à l'onglet "step 4"
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FWindowsrepair%2FWindowsrepair4.png&hash=ffb5c2569900648dbd4bfe5e89f5928a02416d56)
- Clique sur le bouton Do It, et laisse le scan s'effectuer.
- Ferme le programme et redémarre le PC
- Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
- Clique sur le bouton"Start"
- Dans la fenêtre suivante, coche exactement ces options :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FWindowsrepair%2FWindowsrepair9.png&hash=a6921e829b4180f5ff6f032d356bd72df40e565e)
- Clique enfin sur "Start" en bas à droite.
- Redémarre le pc s'il ne le fait pas automatiquement.
Après redémarrage, à faire :
Télécharge Farbar Service Scanner (http://www.bleepingcomputer.com/download/farbar-service-scanner/dl/62/) (de Farbar) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coche toutes les options
- Clique sur le bouton "Scan"
- Laisse travailler l'outil, un rapport va apparaitre.
- Poste son contenu dans ta prochaine réponse
(S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Euhhh, là j'écris depuis mon telephone parceque apres le redemarrage qui suit Windows repair... et bé ca marche plus...plus outlook, plus firefox...et ca mouline, ca mouline....
-
Un script ralenti votre ordinateur. S'il continue, votre ordinateur pourrait ne plus repondre.... arrêter ce script ? → j'ai mis "oui"
-
En mode sans échec avec prise en charge réseau, ça fonctionne correctement.
Je fais quoi ?
-
Re,
Redémarre en mode normal de nouveau, et dis-moi si le problème se poursuit ou pas.
:AAN
-
Ca a l'air d'aller... je fais le reste bientôt.
Merci.
-
Re,
Un problème pour utiliser FSS et me fournir le rapport ?
-
Non, pas d'autre problème que le temps ... ::)
Voilà le rapport :
https://up.security-x.fr/file.php?h=R96b6d707048982748fa255e2b68ea8d2
Cdlt.
-
Question subsidiaire, y a t'il vraiment un risque à utiliser AceStream ?
-
Re,
Question subsidiaire, y a t'il vraiment un risque à utiliser AceStream ?
Je met de côté l'aspect légalité d'un logiciel basé sur le P2P pour du streaming ...
En lui-même il n'est pas dangereux, ce sont les sponsors qu'il t'invite à installer avec lui ou impose qui posent soucis.
Je n'ai pas testé donc je ne sais pas s'ils sont inclus ou si on peut les décocher à l'installation ...
Une dernière réparation à faire s'il te plait :
Télécharge ce fichier (http://www.archive-host.com/link/c0084b8af3f5d2046a6d5a5db63c7c01e130d41e.reg) sur ton bureau :
- Fusionne le fichier ShellServiceObjects-Win7-8.reg : clic-droit -> Fusionner
- Valide les avertissements.
Aide en images (http://www.chantal11.com/2010/06/fusionner-un-fichier-reg-windows-7-vista/)
Redémarre le PC
Relance Farbar Service Scanner comme indiqué précédemment pour générer un nouveau rapport FSS.txt
-
Et voilà :
https://up.security-x.fr/file.php?h=R8be682f61825a4cbfa99679bc5d79446
;-)
-
Re,
Très bien, tout est ok pour moi.
As-tu encore des symptômes/soucis sur ce PC ?
-
Bonjour et merci pour tout ça :AAN
Ce matin (encore) les raccourcis de ma barre d'outil ne fonctionnent pas (Outllok, FireFox). Çà le fait parfois et ce depuis que j'applique les manips que nous avons faites. Rien de bien grave à l'utilisation, un redémarrage et ça repart.
Sinon, puis-je désinstaller tout ce que tu m'as fait télécharger ?
Peux tu m'expliquer avec des mots simples :oups: ce que tu as vu, fait sur mon PC ?
Par avance merci. ;)
-
Re,
Je n'ai pas touché normalement de chose en lien avec ces raccourci rapide ...
Néanmoins, tu avais une infection dangereuse qui avait endommagé le système.
Il est donc possible que la réparation ai provoqué ce symptôme
Les raccourci sont inopérant, ou bien cela leurs icônes sont vide, ou comment cela se concrétise ?
-
Les liens sont inopérants, mais pas systématiquement. Par exemple à l'instant, je viens d'allumer mon PC, j'attends bien le moment que tout soit en ordre de marche, je clique sur l’icône FF, ça se lance, je cherche dans mon historique la page "security-x" dernièrement ouverte, je clique dessus... et plus rien, le pointeur se change en petit rond qui tourne...et qui tourne...jusqu'à ce que je finisse par éteindre la machine avec le gros bouton et redémarrer. Et là, au deuxième lancement, ça marche !
Concernant cette infection, parefeu, antivirus et autre ne décèlent pas ce genre de chose ?
-
Re,
Ce que tu m'expliques, c'est un problème de connexion, pas de raccourci ;)
Où à la rigueur un plantage du logiciel en question.
Cela ne se produit qu'avec Firefox ?
Que si tu le lances via les raccourcis rapide en barre des tâches ? (sous-entendu si tu le lances via son raccourcis sur le bureau cela le fait ou pas ? )
Concernant cette infection, parefeu, antivirus et autre ne décèlent pas ce genre de chose ?
Non, tout simplement parce que c'est l'utilisateur qui installe "volontairement" ces infections par son comportement, passant outre ses protections (logiciels et système non tenu à jour, visite de sites sensibles, streaming, téléchargement, etc ... Installation de logiciels non sûr, ...)
:AAN
-
Bonjour, je crois que je vais en rester là. A part quelques merdouilles sûrement dues à effectivement des pb de connexion (je viens de déménager dans une zone blanche et j'utilise mon téléphone en partage de connexion) et mon matériel vieillissant, l'ensemble fonctionne et répond pour le moment à mon besoin.
Je peux virer tous les prg installés plus haut ?
Encore merci pour votre boulot.
Cdlt.
-
Re,
Ok, mais n'hésite pas à revenir si un problème revient ou eprsiste, on pourra regarder ;)
Pour conclure :
Télécharge DelFix (https://toolslib.net/downloads/finish/2/) (de Xplode) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Ne touche pas aux options cochées
- Coche en plus "Purger la restauration système"
- Clique sur le bouton "Exécuter"
- Laisse travailler l'outil.
- Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.
Cela va désinstaller la majorité des outils utilisés.
Désinstalle manuellement :
- Windows Repair (via ta liste des programmes)
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/) et à lire (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) par exemple. (pour Chrome : Ghostery (https://chrome.google.com/webstore/detail/ghostery/mlomiejdfkolichcflejclcbmpeaniij?hl=fr) ou Scriptsafe (https://chrome.google.com/webstore/detail/scriptsafe/oiigbmnaadbkfbmpbfijlflahbdbdgdf) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux utiliser un outil comme SXCU (http://forum.security-x.fr/tutoriels-317/(tutoriel)-sx-checkupdate/) pour vérifier occasionnellement les mises à jour disponibles pour les principaux logiciels/plugins.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.tomsguide.fr/forum/id-2134891/prevention-protection-securiser-ordinateur.html)
Ici aussi ! (http://www.tomsguide.fr/forum/id-416930/dossier-prevention-protection.html)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
# DelFix v1.013 - Rapport créé le 18/04/2017 à 11:29:57
# Mis à jour le 17/04/2016 par Xplode
# Nom d'utilisateur : Cirbouille - HP
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
~ Suppression des outils de désinfection ...
Supprimé : C:\FRST
Supprimé : C:\RegBackup
Supprimé : C:\Users\Cirbouille\Desktop\Fixlog.txt
Supprimé : C:\Users\Cirbouille\Desktop\FRST64(1).exe
Supprimé : C:\Users\Cirbouille\Desktop\FSS(1).exe
Supprimé : C:\Users\Cirbouille\Desktop\FSS.txt
Supprimé : C:\Users\Cirbouille\Downloads\Addition.txt
Supprimé : C:\Users\Cirbouille\Downloads\FRST.txt
Supprimé : C:\Users\Cirbouille\Downloads\FRST64.exe
Supprimé : C:\Users\Cirbouille\Downloads\FSS.exe
Supprimé : C:\Users\Cirbouille\Downloads\FSS.txt
~ Purge de la restauration système ...
Nouveau point de restauration créé !
########## - EOF - ##########