Security-X

Forum Security-X => Désinfections => Discussion démarrée par: Celiam le juillet 06, 2017, 11:45:40

Titre: Infecté
Posté par: Celiam le juillet 06, 2017, 11:45:40
Bonjour

Je ne sais pas si poste comme il le faut mais adwcleaner et zhpcleaner ont trouvé des infections.
J'ai pu voir qu'il fallait aussi faire passer l'outil frst.

frst

https://up.security-x.fr/file.php?h=R901416b9210bd5833ffd9f01ec8b7080
https://up.security-x.fr/file.php?h=R18f53141c37fe7cea95c5842b790f8eb

adwcleaner

https://up.security-x.fr/file.php?h=R298ba44c6fda843da1e772759fde73aa

zhpcleaner

https://up.security-x.fr/file.php?h=R1a638d85acc9743b25bbf1c8281c9cd6

est-ce que adwcleaner et zhpcleaner ont tout nettoyé ?

Merci pour l'aide.


Titre: Re : Infecté
Posté par: hyunkel30 le juillet 06, 2017, 19:30:28
Bonjour,

Bienvenue sur Security-X,

Infection par adwares, logiciels publicitaires installés "volontairement", car les utilisateurs de ce pc ne sont pas assez vigilants, et ne décochent pas les sponsors proposés avec l'installation de certains programmes "gratuits".

Tu as aussi une infection par support amovible ...

Insère tous les périphériques amovibles ayant pu être infecté, puis fait ceci s'il te plait :

Télécharge UsbFix (http://www.usb-antivirus.com/fr/telecharger/usbfix/?wpdmdl=497) (de El Desaparecido) sur ton Bureau.


/!\ Déconnecte-toi et ferme toutes les applications en cours /!\
/!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\

Titre: Re : Infecté
Posté par: Celiam le juillet 08, 2017, 14:31:12
Bonjour et merci pour votre aide
 voici le rapport demandé

https://up.security-x.fr/file.php?h=Rf035f1ce540fa953bc76c5db715e99c2

Est-ce finit ? je le trouve encore assez lent, mais Est-ce lié aux infections ?
Titre: Re : Infecté
Posté par: hyunkel30 le juillet 08, 2017, 19:14:18
Re,

On ne fait que commencer, ce n'est pas fini ;)


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Bing Search Engine (sponsor, sauf réelle utilité)





Start
CreateRestorePoint:
CloseProcesses:
Task: {FBAF3AEB-C5A7-4D97-BE77-766928BB7BCF} - System32\Tasks\{3C2DF05E-A794-52AF-287F-6EC14B03A130} => C:\Program Files (x86)\Common Files\3c2df05ea79452af287f6ec14b03a130\sync.exe [2013-04-18] ()
Task: C:\WINDOWS\Tasks\{3C2DF05E-A794-52AF-287F-6EC14B03A130}.job => C:\PROGRA~2\COMMON~1\3C2DF0~1\sync.exe
C:\Program Files (x86)\Common Files\3c2df05ea79452af287f6ec14b03a130
HKLM-x32\...\RunOnce: [Hisemi] => C:\WINDOWS\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\NADGE~1\AppData\Roaming\Nufocab"
HKLM-x32\...\RunOnce: [Pehusica] => C:\WINDOWS\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\NADGE~1\AppData\Roaming\Balohecusore"
HKLM-x32\...\RunOnce: [Bomemokaripop] => C:\WINDOWS\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\NADGE~1\AppData\Local\1C8A95~1\Konoresu.dat"
HKLM-x32\...\RunOnce: [Tenatap] => C:\WINDOWS\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\NADGE~1\AppData\Local\17A34B~1\Modud.dat"
C:\Users\NADGE~1\AppData\Roaming\Nufocab
C:\Users\NADGE~1\AppData\Roaming\Balohecusore
C:\Users\NADGE~1\AppData\Local\1C8A95~1
C:\Users\NADGE~1\AppData\Local\17A34B~1
HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\...\MountPoints2: E - "E:\AutoRun.exe"
HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\...\MountPoints2: {7030eabf-0968-11e6-82aa-18cf5e8bef49} - "E:\AutoRun.exe"
HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\...\MountPoints2: {79407fb0-3bd4-11e6-82ac-18cf5e8bef49} - "E:\AutoRun.exe"
HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\...\MountPoints2: {8f08f5f1-c07a-11e4-826d-18cf5e8bef49} - "E:\AutoRun.exe"
HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\...\MountPoints2: {a166f2e9-4564-11e4-826c-18cf5e8bef49} - "F:\AutoRun.exe"
GroupPolicy: Restriction - Chrome <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2531324112-1084737319-4197452824-1001 -> {54DA7461-282B-400B-B8F8-B01640B232AB} URL =
CHR NewTab: Default -> Active:"chrome-extension://pilplloabdedfmialnfchjomjmpjcoej/index.html", Not-active:"chrome-extension://pilplloabdedfmialnfchjomjmpjcoej/content/newtab.html", Active:"chrome-extension://fcfenmboojpjinhpgggodefccipikbpd/newTab.html"
CHR HKLM\...\Chrome\Extension: [elmkjjfkkchohaaoljobaffjeedcoocj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2531324112-1084737319-4197452824-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [elmkjjfkkchohaaoljobaffjeedcoocj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [elmkjjfkkchohaaoljobaffjeedcoocj] - hxxps://clients2.google.com/service/update2/crx
2017-06-26 17:25 - 2017-06-26 17:25 - 00000000 _____ C:\Users\Nadège\AppData\Local\{25CED775-D1E5-4CB8-98E9-87D13B738A9B}
2017-06-10 14:42 - 2017-06-10 14:42 - 00000000 _____ C:\Users\Nadège\AppData\Local\{289C0429-9D88-44EA-93F1-25D250B7E60B}
2017-05-19 13:58 - 2017-05-19 13:58 - 00000000 ___HD C:\Users\Nadège\AppData\Local\17a34b9c6e156e10
2017-04-28 15:37 - 2017-04-28 15:37 - 00000000 _____ C:\Users\Nadège\AppData\Local\{15B80506-19CB-48C0-9DA4-CA244C536634}
2017-04-15 15:40 - 2017-04-15 15:40 - 00000000 _____ C:\Users\Nadège\AppData\Local\{023FE625-8949-41C2-BCD2-36751B9F7D58}
2017-04-13 18:47 - 2017-04-13 18:47 - 00000000 _____ C:\Users\Nadège\AppData\Local\{E9CD0061-F754-4FDA-81D9-D0E195D3F7DA}
2017-04-11 13:24 - 2017-07-06 10:25 - 00000254 _____ C:\WINDOWS\Tasks\{3C2DF05E-A794-52AF-287F-6EC14B03A130}.job
2017-04-11 13:24 - 2017-04-11 13:24 - 00017735 _____ C:\Users\Nadège\AppData\Roaming\Balohecusore
2017-04-11 13:24 - 2017-04-11 13:24 - 00002592 _____ C:\WINDOWS\System32\Tasks\{3C2DF05E-A794-52AF-287F-6EC14B03A130}
2017-04-11 13:24 - 2017-04-11 13:24 - 0017735 _____ () C:\Users\Nadège\AppData\Roaming\Balohecusore
2016-11-05 14:16 - 2017-02-01 11:26 - 0019186 _____ () C:\Users\Nadège\AppData\Roaming\Nufocab
2017-04-15 15:40 - 2017-04-15 15:40 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{023FE625-8949-41C2-BCD2-36751B9F7D58}
2017-04-28 15:37 - 2017-04-28 15:37 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{15B80506-19CB-48C0-9DA4-CA244C536634}
2017-06-26 17:25 - 2017-06-26 17:25 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{25CED775-D1E5-4CB8-98E9-87D13B738A9B}
2017-06-10 14:42 - 2017-06-10 14:42 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{289C0429-9D88-44EA-93F1-25D250B7E60B}
2017-03-06 10:42 - 2017-03-06 10:42 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{60E4B0F6-0288-46C6-9E63-BF7D5E1CE705}
2017-02-03 16:17 - 2017-02-03 16:17 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{882ECFCF-4C01-4700-A84F-BC9DC54DC6AE}
2017-03-10 17:14 - 2017-03-10 17:14 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{9F242EE3-5393-4BFD-93CB-5A00E0D52389}
2017-04-06 16:21 - 2017-04-06 16:21 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{B89DFB6F-9917-4133-929C-28779024A4FD}
2017-02-27 12:15 - 2017-02-27 12:15 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{DCB6FA5E-EF88-4AD5-B48D-8DD31E83D2C4}
2017-04-13 18:47 - 2017-04-13 18:47 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{E9CD0061-F754-4FDA-81D9-D0E195D3F7DA}
2017-02-20 16:34 - 2017-02-20 16:34 - 0000000 _____ () C:\Users\Nadège\AppData\Local\{F3EF529F-6828-463F-8454-458DBB0FCEAD}
EmptyTemp:
End
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
Titre: Re : Infecté
Posté par: Celiam le juillet 08, 2017, 21:43:19
Merci  :)

https://up.security-x.fr/file.php?h=R2c1e657acf64ac61f9f9d96f7508f7a5

pour bing il est désinstallé.

Que faut-il faire maintenant ?
Titre: Re : Infecté
Posté par: hyunkel30 le juillet 09, 2017, 09:54:21
Re,

Une dernière vérification :

Télécharge MalwareByte's Anti-Malware (http://www.malwarebytes.org/mwb-download/) :

Titre: Re : Infecté
Posté par: Celiam le juillet 14, 2017, 22:50:40
Bonsoir, désolé mais je n'ai pas allumé le PC depuis plusieurs jours.
Malwarebyte ne trouve rien.

je peux supprimer ces outils et rapports ?

Merci.
Titre: Re : Infecté
Posté par: hyunkel30 le juillet 14, 2017, 23:02:55
Re,

Fournis moi néanmoins le rapport comme demandé, puis on fera le ménage de fin de procédure ;)
Titre: Re : Infecté
Posté par: Celiam le juillet 15, 2017, 18:51:46
Bonjour, désolé voici le rapport
https://up.security-x.fr/file.php?h=R4ae6e4e3f34dfc36d1e4563960ba71e8

Merci
Titre: Re : Infecté
Posté par: hyunkel30 le juillet 16, 2017, 09:01:14
Re,

Ok, pour conclure :

Télécharge DelFix (https://toolslib.net/downloads/finish/2/) (de Xplode) sur ton bureau.

Note : cet outil pédagogique tant à évoluer en permanence, n'hésite pas à remonter les problèmes rencontrés ou les suggestions pour son amélioration



Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :




Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.tomsguide.fr/forum/id-2134891/prevention-protection-securiser-ordinateur.html)
Ici aussi ! (http://www.tomsguide.fr/forum/id-416930/dossier-prevention-protection.html)

Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.

A bientôt sur Security-X
 :AAN