Security-X
Forum Security-X => Désinfections => Discussion démarrée par: tioudi le octobre 29, 2014, 08:01:48
-
Bonjour,
Depuis quelques jours, firefox et chrome se connectent automatiquement en mode proxy lorsque j'allume mon PC. Pour pouvoir accéder à internet, je dois alors, tous les matins donc, aller dans outils, options, avancé, réseau, connexion paramètres, et décocher la case "utiliser les paramètres proxy du système". J'ai récemment installé un logiciel freesource (DOCEAR-un logiciel de mindmapping), mis à jour les plugin flashpayer et téléchargé les sous-titres d'un film via un logiciel de torrent.
Microsoft security essentials ne repère aucun virus.
Toute aide serait la bienvenue! MERCI D'AVANCE!
-
:AAC Bonjour tioudi,
Bienvenue sur Security-X,
Nous allons faire un premier diagnostic :
Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.
Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Clique sur le bouton Scan.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Merci pour ton aide hyunkel30!
Voici les liens vers les 2 rapports:
http://up.security-x.fr/file.php?h=R3e91a87a7b7a1367adeac40c5ae1e337
http://up.security-x.fr/file.php?h=R6986ff26989417382c3f7b87648e9589
Merci d'avance!
-
Re,
Infection par adware, logiciels publicitaires installés "volontairement" car les utilisateurs de ce pc ne sont pas assez vigilant et ne décochent pas les sponsors proposés lors de l'installation de certains logiciels "gratuits"
/!\ Information importante /!\
Ton disque dur système est saturé :
Drive c: (WINDOWS) (Fixed) (Total:149.01 GB) (Free:2.72 GB) NTFS
Il faut absolument faire de la place sur ce disque, en désinstallant les programmes inutile, et en supprimant ou archivant les fichiers/dossiers personnels (photos, vidéo, musique, etc ...)
Sans cela, tu risques des ralentissements et des plantages.
à suivre pour le ménage :
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- McAfee Security Scan Plus (peu ou pas utile, installé en sponsor)
- Spybot - Search & Destroy (logiciel obsolète et peu efficace, la preuve, tu es là ...)
- Wajam (adware)
- WebPlayerV2 (idem)
/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images (http://forum.security-x.fr/windows-7/%28tutoriel%29-creer-un-point-de-restauration-sous-windows-7/) /!\
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
CloseProcesses:
HKU\S-1-5-21-3118173027-4125177599-4028387897-1000\...\Run: [NextLive] => C:\Windows\SysWOW64\rundll32.exe "C:\Users\Mathilde Gingembre\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
ProxyEnable: Internet Explorer proxy is enabled.
ProxyServer: http=127.0.0.1:59256;https=127.0.0.1:59256
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findamo.com?&cid=4151ch=2
SearchScopes: HKLM - DefaultScope {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyBtDtC0AtDyE0A0DtAtC0DtCzy0B0F0BtN0D0Tzu0CtAtAzztN1L2XzutBtFtBtFtDtFtAyEyE&cr=1886234319
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=101&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKLM - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyBtDtC0AtDyE0A0DtAtC0DtCzy0B0F0BtN0D0Tzu0CtAtAzztN1L2XzutBtFtBtFtDtFtAyEyE&cr=1886234319
SearchScopes: HKLM-x32 - DefaultScope {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyBtDtC0AtDyE0A0DtAtC0DtCzy0B0F0BtN0D0Tzu0CtAtAzztN1L2XzutBtFtBtFtDtFtAyEyE&cr=1886234319
SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=101&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyBtDtC0AtDyE0A0DtAtC0DtCzy0B0F0BtN0D0Tzu0CtAtAzztN1L2XzutBtFtBtFtDtFtAyEyE&cr=1886234319
SearchScopes: HKCU - DefaultScope {263d0f22-3bff-4133-ba28-cbccf267743c} URL = http://www.findamo.com/search.html?&q={searchTerms}&cid=4151ch=2
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=111020&babsrc=SP_ss&mntrId=ecad9bfb000000000000701a04ad31d1
SearchScopes: HKCU - {263d0f22-3bff-4133-ba28-cbccf267743c} URL = http://www.findamo.com/search.html?&q={searchTerms}&cid=4151ch=2
SearchScopes: HKCU - {899F8AFB-C767-4D97-9804-34D78BC95FEE} URL = http://www.search.ask.com/web?tpid=ORJ&o=100000027&pf=V7&p2=%5EU3%5EOSJ000%5EYY%5EFR&gct=&itbv=12.10.6.60&apn_uid=ED49C509-A337-43D6-85E1-FCB4DD680853&apn_ptnrs=%5EU3&apn_dtid=%5EOSJ000%5EYY%5EFR&apn_dbr=ff_17.0.1&doi=2013-06-11&trgb=IE&q={searchTerms}&psv=
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=101&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKCU - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyBtDtC0AtDyE0A0DtAtC0DtCzy0B0F0BtN0D0Tzu0CtAtAzztN1L2XzutBtFtBtFtDtFtAyEyE&cr=1886234319
BHO: No Name -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
Toolbar: HKCU - No Name - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No File
FF Plugin-x32: @checkpoint.com/FFApi -> C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll No File
FF HKLM-x32\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker
FF HKCU\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: No Name - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
CHR StartupUrls: Default -> "hxxp://search.bearshare.net", "hxxp://searchfunmoods.com/?f=1&a=download&chnl=download&cd=2XzuyEtN2Y1L1QzuyBtDtC0AtDyE0A0DtAtC0DtCzy0B0F0BtN0D0Tzu0CtAtAzztN1L2XzutBtFtBtFtDtFtAyEyE&cr=1886234319", "hxxp://www.findamo.com?&cid=4151ch=2"
CHR Extension: (Funmoods) - C:\Users\Mathilde Gingembre\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjpglkicenollcignonpgiafdgfeehoj [2012-12-03]
CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\MATHIL~1\AppData\Local\funmoods.crx [2012-12-03]
CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\MATHIL~1\AppData\Local\funmoods-speeddial_sf.crx [2012-12-03]
CHR HKCU\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\MATHIL~1\AppData\Local\funmoods.crx [2012-12-03]
CHR HKCU\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\MATHIL~1\AppData\Local\funmoods-speeddial_sf.crx [2012-12-03]
R2 Wajam Internet Enhancer Service; C:\Program Files (x86)\Wajam\Wajam Internet Enhancer\WajamInternetEnhancerService.exe [303616 2014-07-29] (Wajam Internet Technologies Inc.) [File not signed] <==== ATTENTION
C:\Users\Mathilde Gingembre\AppData\Roaming\newnext.me
C:\Program Files\CheckPoint
C:\Program Files (x86)\Wajam
end- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- Le pc va demander à redémarrer, accepte.
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Scanner.
- Attend la fin de la recherche puis clique sur l'option Rapport.
- Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Génial ça a marché! Plus de message "proxy" ni à l'ouverture de firefox ni à celle de chrome! :BAN
BEAU TRAVAIL et MERCI BEAUCOUP!
Voilà les liens vers les rapports au cas où:
http://up.security-x.fr/file.php?h=Rc3889040ebb0ddf309060644ce74b6b3
http://up.security-x.fr/file.php?h=R6c0e0843994e50ca29178b82f39fc25d
-
Re,
Attention la procédure ne sera complète que lorsque je le préciserais, nous n'avons pas terminé ;)
à suivre :
Relance Adwcleaner :
/!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Scanner.
- Attend la fin de la recherche puis clique sur l'option Nettoyer.
- Valide l'avertissement.
- Si le pc demande à redémarrer, accepte.
- Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Ah oui bien-sûr je suis toujours là! ;) Je voulais juste souligner qu'une partie du problème semblait régler et rendre à César ce qui appartient à César ;)
Voici mon dernier rapport: http://up.security-x.fr/file.php?h=R05377ad12399b90725fda843e7dbe8bc
Merci!
-
Re,
Désolé pour le retard, j'étais absent cette semaine.
Nous pouvons conclure :
Télécharge DelFix (https://toolslib.net/downloads/finish/2/) (de Xplode) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Ne touche pas aux options cochées
- Coche en plus "Purger la restauration système"
- Clique sur le bouton "Exécuter"
- Laisse travailler l'outil.
- Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/) et à lire (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux utiliser un outil comme SXCU (http://forum.security-x.fr/tutoriels-317/(tutoriel)-sx-checkupdate/) pour vérifier occasionnellement les mises à jour disponibles pour les principaux logiciels/plugins.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.tomsguide.fr/forum/id-2134891/prevention-protection-securiser-ordinateur.html)
Ici aussi ! (http://www.tomsguide.fr/forum/id-416930/dossier-prevention-protection.html)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
Bonjour,
Désolée pour ma réponse tardive et un grand merci pour tous ces conseils.
Voilà mon rapport: http://up.security-x.fr/file.php?h=Rb5f5fae349fc2f85a0a4d3331d1ee37a
J'ai un nouveau problème en revanche :( Je ne sais pas si c'est lié aux manipulations que nous avons faites ensemble mais depuis quelques jours, je ne parviens plus à mettre à jour microsoft security essentials. Je reçois le code d'erreur 0x80096001 et le message suivant "Le logiciel n'a pas pu vérifier les mises à jour des définitions de virus et des logiciels espions. Contrôlez votre connexion internet ou réseau puis réessayez. Dois-je ouvrir une nouvelle discussion dans le forum pour ce problème?
Merci beaucoup!
-
Re,
Tu as testé de désinstaller, puis réinstaller MSE ?