Auteur Sujet: Infecté  (Lu 2641 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Celiam

  • Membres
  • Members
  • *
  • Messages: 5
Infecté
« le: juillet 06, 2017, 11:45:40 »
Bonjour

Je ne sais pas si poste comme il le faut mais adwcleaner et zhpcleaner ont trouvé des infections.
J'ai pu voir qu'il fallait aussi faire passer l'outil frst.

frst

https://up.security-x.fr/file.php?h=R901416b9210bd5833ffd9f01ec8b7080
https://up.security-x.fr/file.php?h=R18f53141c37fe7cea95c5842b790f8eb

adwcleaner

https://up.security-x.fr/file.php?h=R298ba44c6fda843da1e772759fde73aa

zhpcleaner

https://up.security-x.fr/file.php?h=R1a638d85acc9743b25bbf1c8281c9cd6

est-ce que adwcleaner et zhpcleaner ont tout nettoyé ?

Merci pour l'aide.



Security-X

Infecté
« le: juillet 06, 2017, 11:45:40 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infecté
« Réponse #1 le: juillet 06, 2017, 19:30:28 »
Bonjour,

Bienvenue sur Security-X,

Infection par adwares, logiciels publicitaires installés "volontairement", car les utilisateurs de ce pc ne sont pas assez vigilants, et ne décochent pas les sponsors proposés avec l'installation de certains programmes "gratuits".

Tu as aussi une infection par support amovible ...

Insère tous les périphériques amovibles ayant pu être infecté, puis fait ceci s'il te plait :

Télécharge UsbFix (de El Desaparecido) sur ton Bureau.


/!\ Déconnecte-toi et ferme toutes les applications en cours /!\
/!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme. (le fichier aura un nom aléatoire, c'est normal)
    (Utilisateur de Vista/Windows 7/8, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

Hors ligne Celiam

  • Membres
  • Members
  • *
  • Messages: 5
Re : Infecté
« Réponse #2 le: juillet 08, 2017, 14:31:12 »
Bonjour et merci pour votre aide
 voici le rapport demandé

https://up.security-x.fr/file.php?h=Rf035f1ce540fa953bc76c5db715e99c2

Est-ce finit ? je le trouve encore assez lent, mais Est-ce lié aux infections ?

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infecté
« Réponse #3 le: juillet 08, 2017, 19:14:18 »
Re,

On ne fait que commencer, ce n'est pas fini ;)


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Bing Search Engine (sponsor, sauf réelle utilité)





  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe/FRST64.exe
  • Appuie simultanément sur Ctrl + y (Touches Ctrl et y)
  • Un fichier fixlist.txt s'ouvre, copie/colle la totalité du contenu de la zone Code ci-dessous dedans

Start
CreateRestorePoint:
CloseProcesses:
Task: {FBAF3AEB-C5A7-4D97-BE77-766928BB7BCF} - System32\Tasks\{3C2DF05E-A794-52AF-287F-6EC14B03A130} => C:\Program Files (x86)\Common Files\3c2df05ea79452af287f6ec14b03a130\sync.exe [2013-04-18] ()
Task: C:\WINDOWS\Tasks\{3C2DF05E-A794-52AF-287F-6EC14B03A130}.job => C:\PROGRA~2\COMMON~1\3C2DF0~1\sync.exe
C:\Program Files (x86)\Common Files\3c2df05ea79452af287f6ec14b03a130
HKLM-x32\...\RunOnce: [Hisemi] => C:\WINDOWS\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\NADGE~1\AppData\Roaming\Nufocab"
HKLM-x32\...\RunOnce: [Pehusica] => C:\WINDOWS\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\NADGE~1\AppData\Roaming\Balohecusore"
HKLM-x32\...\RunOnce: [Bomemokaripop] => C:\WINDOWS\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\NADGE~1\AppData\Local\1C8A95~1\Konoresu.dat"
HKLM-x32\...\RunOnce: [Tenatap] => C:\WINDOWS\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\NADGE~1\AppData\Local\17A34B~1\Modud.dat"
C:\Users\NADGE~1\AppData\Roaming\Nufocab
C:\Users\NADGE~1\AppData\Roaming\Balohecusore
C:\Users\NADGE~1\AppData\Local\1C8A95~1
C:\Users\NADGE~1\AppData\Local\17A34B~1
HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\...\MountPoints2: E - "E:\AutoRun.exe"
HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\...\MountPoints2: {7030eabf-0968-11e6-82aa-18cf5e8bef49} - "E:\AutoRun.exe"
HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\...\MountPoints2: {79407fb0-3bd4-11e6-82ac-18cf5e8bef49} - "E:\AutoRun.exe"
HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\...\MountPoints2: {8f08f5f1-c07a-11e4-826d-18cf5e8bef49} - "E:\AutoRun.exe"
HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\...\MountPoints2: {a166f2e9-4564-11e4-826c-18cf5e8bef49} - "F:\AutoRun.exe"
GroupPolicy: Restriction - Chrome <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2531324112-1084737319-4197452824-1001 -> {54DA7461-282B-400B-B8F8-B01640B232AB} URL =
CHR NewTab: Default -> Active:"chrome-extension://pilplloabdedfmialnfchjomjmpjcoej/index.html", Not-active:"chrome-extension://pilplloabdedfmialnfchjomjmpjcoej/content/newtab.html", Active:"chrome-extension://fcfenmboojpjinhpgggodefccipikbpd/newTab.html"
CHR HKLM\...\Chrome\Extension: [elmkjjfkkchohaaoljobaffjeedcoocj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [elmkjjfkkchohaaoljobaffjeedcoocj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [elmkjjfkkchohaaoljobaffjeedcoocj] - hxxps://clients2.google.com/service/update2/crx
2017-06-26 17:25 - 2017-06-26 17:25 - 00000000 _____ C:\Users\Nadège\AppData\Local\{25CED775-D1E5-4CB8-98E9-87D13B738A9B}
2017-06-10 14:42 - 2017-06-10 14:42 - 00000000 _____ C:\Users\Nadège\AppData\Local\{289C0429-9D88-44EA-93F1-25D250B7E60B}
2017-05-19 13:58 - 2017-05-19 13:58 - 00000000 ___HD C:\Users\Nadège\AppData\Local\17a34b9c6e156e10
2017-04-28 15:37 - 2017-04-28 15:37 - 00000000 _____ C:\Users\Nadège\AppData\Local\{15B80506-19CB-48C0-9DA4-CA244C536634}
2017-04-15 15:40 - 2017-04-15 15:40 - 00000000 _____ C:\Users\Nadège\AppData\Local\{023FE625-8949-41C2-BCD2-36751B9F7D58}
2017-04-13 18:47 - 2017-04-13 18:47 - 00000000 _____ C:\Users\Nadège\AppData\Local\{E9CD0061-F754-4FDA-81D9-D0E195D3F7DA}
2017-04-11 13:24 - 2017-07-06 10:25 - 00000254 _____ C:\WINDOWS\Tasks\{3C2DF05E-A794-52AF-287F-6EC14B03A130}.job
2017-04-11 13:24 - 2017-04-11 13:24 - 00017735 _____ C:\Users\Nadège\AppData\Roaming\Balohecusore
2017-04-11 13:24 - 2017-04-11 13:24 - 00002592 _____ C:\WINDOWS\System32\Tasks\{3C2DF05E-A794-52AF-287F-6EC14B03A130}
2017-04-11 13:24 - 2017-04-11 13:24 - 0017735 _____ () C:\Users\Nadège\AppData\Roaming\Balohecusore
2016-11-05 14:16 - 2017-02-01 11:26 - 0019186 _____ () C:\Users\Nadège\AppData\Roaming\Nufocab
2017-04-15 15:40 - 2017-04-15 15:40 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{023FE625-8949-41C2-BCD2-36751B9F7D58}
2017-04-28 15:37 - 2017-04-28 15:37 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{15B80506-19CB-48C0-9DA4-CA244C536634}
2017-06-26 17:25 - 2017-06-26 17:25 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{25CED775-D1E5-4CB8-98E9-87D13B738A9B}
2017-06-10 14:42 - 2017-06-10 14:42 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{289C0429-9D88-44EA-93F1-25D250B7E60B}
2017-03-06 10:42 - 2017-03-06 10:42 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{60E4B0F6-0288-46C6-9E63-BF7D5E1CE705}
2017-02-03 16:17 - 2017-02-03 16:17 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{882ECFCF-4C01-4700-A84F-BC9DC54DC6AE}
2017-03-10 17:14 - 2017-03-10 17:14 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{9F242EE3-5393-4BFD-93CB-5A00E0D52389}
2017-04-06 16:21 - 2017-04-06 16:21 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{B89DFB6F-9917-4133-929C-28779024A4FD}
2017-02-27 12:15 - 2017-02-27 12:15 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{DCB6FA5E-EF88-4AD5-B48D-8DD31E83D2C4}
2017-04-13 18:47 - 2017-04-13 18:47 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{E9CD0061-F754-4FDA-81D9-D0E195D3F7DA}
2017-02-20 16:34 - 2017-02-20 16:34 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{F3EF529F-6828-463F-8454-458DBB0FCEAD}
EmptyTemp:
End
  • Appuyer simultanément sur Ctrl + s pour enregistrer. Fermer le fichier fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

  • Le pc va demander à redémarrer, accepte.
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

Hors ligne Celiam

  • Membres
  • Members
  • *
  • Messages: 5
Re : Infecté
« Réponse #4 le: juillet 08, 2017, 21:43:19 »
Merci  :)

https://up.security-x.fr/file.php?h=R2c1e657acf64ac61f9f9d96f7508f7a5

pour bing il est désinstallé.

Que faut-il faire maintenant ?

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infecté
« Réponse #5 le: juillet 09, 2017, 09:54:21 »
Re,

Une dernière vérification :

Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition si elle ne le fait pas automatiquement.

  • Choisi ensuite "Analyse" (en haut), puis "Analyse des menaces" puis clique en bas sur "Lancer l'analyse"
  • Si l'outil propose d'autres mises à jour, valide en cliquant sur Mettre à jour maintenant
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, si des infections sont détectées, clique sur l'alerte pour afficher les résultats :



  • Coche l'ensemble des éléments détectés (case en haut, à gauche de "Menace") puis clique sur "Supprimer la sélection" en bas. Enfin, clique sur "Terminer"
  • Un redémarrage peut être nécessaire. Accepte en cliquant sur "Oui"

    (aide en images ici)

  • Au redémarrage du PC, relance Malwarebyte's
  • Suis le tutoriel suivant pour exporter le rapport
  • Poste-le dans ta prochaine réponse.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici




Hors ligne Celiam

  • Membres
  • Members
  • *
  • Messages: 5
Re : Infecté
« Réponse #6 le: juillet 14, 2017, 22:50:40 »
Bonsoir, désolé mais je n'ai pas allumé le PC depuis plusieurs jours.
Malwarebyte ne trouve rien.

je peux supprimer ces outils et rapports ?

Merci.

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infecté
« Réponse #7 le: juillet 14, 2017, 23:02:55 »
Re,

Fournis moi néanmoins le rapport comme demandé, puis on fera le ménage de fin de procédure ;)

Hors ligne Celiam

  • Membres
  • Members
  • *
  • Messages: 5
Re : Infecté
« Réponse #8 le: juillet 15, 2017, 18:51:46 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infecté
« Réponse #9 le: juillet 16, 2017, 09:01:14 »
Re,

Ok, pour conclure :

Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.



    Prévention :

    Ton PC a été infecté par des adwares, à savoir des logiciels potentiellement indésirables qui se mettent en place lors des installations de logiciels.

    Il faut donc que les utilisateurs de ce PC veillent à ne pas donner leur accord pour que ceux-ci s'installent lors des installations de logiciels (en décochant par exemple les cases précochées qui autorisent l'installation d'un moteur de recherche).

    Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges en utilisant cet outil :

    Télécharge Adware Prevention (de guigui0001) sur ton bureau.

    Sous IE9, IE10, IE11 et Windows 8 le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    • Lance-le en double-cliquant sur Adware_Prevention.exe
    • Cet outil va simuler une installation sponsorisée par des adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
    • A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
    Tutoriel en images

  • Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !
Note : cet outil pédagogique tant à évoluer en permanence, n'hésite pas à remonter les problèmes rencontrés ou les suggestions pour son amélioration



Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire ! et à lire

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript par exemple. (pour Chrome : Ghostery ou Scriptsafe )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux utiliser un outil comme SXCU pour vérifier occasionnellement les mises à jour disponibles pour les principaux logiciels/plugins.

Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire !
Ici aussi !

Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.

A bientôt sur Security-X
 :AAN

Tags: