Security-X

Forum Security-X => Désinfections => Discussion démarrée par: enes le mai 09, 2016, 14:53:57

Titre: [Résolu] infection
Posté par: enes le mai 09, 2016, 14:53:57

Bonjour le pc de ma voisine est infecté voici le rapport ZHPDiag :  http://pjjoint.malekal.com/files.php?id=20160509_e14h15c9y6q15 (http://pjjoint.malekal.com/files.php?id=20160509_e14h15c9y6q15)

merci.

Titre: Re : infection
Posté par: tomtom95 le mai 09, 2016, 15:24:01

Bonjour enes,

Présence d'infection par adwares/hijackers qui se sont installés avec le consentement de votre voisine,
Il faudra lui dire d'être plus vigilant sur ce qui est validé lors de l'installation de logiciels.
De plus XP n'est plus mis à jour à lire Dangers de XP... et des systèmes obsolètes (http://forum.pcastuces.com/dangers_de_xp__et_des_systemes_obsoletes-f31s87.htm)
Il faudrais penser a changer de système exploitation.
 
Désinstalle via Panneau de configuration >> Ajout et suppression des programmes (si présents):
SweetIM (adware)
Boxore
DomaIQ
Toolbar DealBulldog
Conduit
LimeWire (Limewire ne fonctionne plus suite à une injonction de la justice américaine lui ordonnant d’arrêter de distribuer et de supporter son logiciel de partage de fichiers)
Java(TM) 6 Update 20 (version obsolète avec faille de sécurité)

Passe a la suite si tu ne trouve pas l'un des programmes.

• Télécharge ZHPFix (http://www.nicolascoolman.fr/download/zhpfix/) de Nicolas Coolman enregistre-le sur ton Bureau
  
• Pour lancer l'installation double clique sur ZHPFix.exe
  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau
  
  
• Puis Double clique-sur l'icône ZHPFix ,présent sur votre Bureau
  (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fimages.zebulon.fr%2Fimages%2F2014%2F05%2F21%2FTutoriel_ZHPDiag-7.jpg&hash=c3079ceeafa634655696ea1e8d5bd81ba437c11f)
  
  
• Surlignez tout le texte ci-dessous puis cliquez droit Copier
  
  
  Citer

  Script ZHPFix
  C:\Documents and Settings\isabelle chifoleau\Application Data\Mozilla\Firefox\Profiles\n3h0q1gx.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
  C:\Program Files\DealBulldog Toolbar Toolbar 
  C:\Program Files\Software
  C:\Documents and Settings\isabelle chifoleau\Local Settings\Application Data\Software
  C:\Documents and Settings\isabelle chifoleau\Local Settings\Application Data\SWDS
  C:\Documents and Settings\All Users\Application Data\2308189059
  C:\Documents and Settings\All Users\Application Data\McAfee
  C:\Documents and Settings\isabelle chifoleau\Application Data\Ad-Aware Antivirus
  C:\Documents and Settings\isabelle chifoleau\Application Data\LavasoftStatistics
  M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
  P2 - EXT: (.Sun Microsystems, Inc. - NPRuntime Script Plug-in Library for Java(T.) -- C:\Program Files\Mozilla Firefox\Plugins\npdeployJava1.dll
  P2 - EXT: (.SweetIM Technologies LTD. - SweetPacks Toolbar for Firefox.) -- C:\Documents and Settings\isabelle chifoleau\Application Data\Mozilla\Firefox\Profiles\n3h0q1gx.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
  R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/
  O43 - CFD: 07/04/2013 - [] D -- C:\Program Files\AVAST Software
  O69 - SBI: prefs.js [isabelle chifoleau - n3h0q1gx.default] user_pref("CT1460988.ct1670222.RadioLastCheckTime", "Fri Oct 22 2010 22:23:13 GMT+0200"); 
  O69 - SBI: prefs.js [isabelle chifoleau - n3h0q1gx.default] user_pref("CT1460988.ct1670222.RadioLastUpdateServer", "128929877726170000"); 
  O69 - SBI: prefs.js [isabelle chifoleau - n3h0q1gx.default] user_pref("CT1460988.ct1670222.SearchEngine", "Recherchehttp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TERM&ctid=ct1670222&[...] 
  O69 - SBI: prefs.js [isabelle chifoleau - n3h0q1gx.default] user_pref("extensions.newAddons", "plugin@yontoo.com,{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}"); 
  O69 - SBI: prefs.js [isabelle chifoleau - n3h0q1gx.default] user_pref("sweetim.toolbar.previous.browser.startup.homepage", "http://www.iadah.com/"); 
  O69 - SBI: prefs.js [isabelle chifoleau - n3h0q1gx.default] user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "Bing"); 
  O69 - SBI: prefs.js [isabelle chifoleau - n3h0q1gx.default] user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "iadah"); 
  O69 - SBI: prefs.js [isabelle chifoleau - n3h0q1gx.default] user_pref("sweetim.toolbar.previous.browser.search.defaulturl", "http://www.bing.com/search?FORM=IEFM1&q="); 
  O69 - SBI: prefs.js [isabelle chifoleau - n3h0q1gx.default] user_pref("sweetim.toolbar.previous.keyword.URL", "http://www.iadah.com/?search&q=");
  O69 - SBI: SearchScopes [HKCU] {5AA2BA46-9913-4DC7-9620-69AB0FA17AE7} - (ALOT Recherche) - http://search.alot.com/ 
  O69 - SBI: SearchScopes [HKCU] {B1287643-603A-418C-8E06-1FB3C2563460} - (iadah) - http://www.iadah.com/
  O69 - SBI: SearchScopes [HKCU] {f3d17ef2-8118-4fa3-afea-bb2e18a69054} - (iadah) - http://www.iadah.com/
  O90 - PUC: "9888910D6677B424BA181FF6E8DDEF4F" . (.Facemoods.) -- C:\WINDOWS\Installer\{D0198889-7766-424B-AB81-F16F8EDDFEF4}\ARPPRODUCTICON.exe
  HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{49F1E961-77E0-441D-917E-9F938801BCDA} 
  HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{49F1E961-77E0-441D-917E-9F938801BCDA}
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} 
  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DomaIQ Uninstaller
  HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}
  HKLM\Software\Classes\Installer\Products\9888910D6677B424BA181FF6E8DDEF4F 
  HKLM\Software\Classes\Installer\Features\9888910D6677B424BA181FF6E8DDEF4F 
  
  ShortcutFix
  Ifeofix
  PROXYFix
  EmptyPrefetch
  EmptyCLSID
  FirewallRaz
  EmptyTemp
  EmptyFlash
  Sysrestore
  

  
  
• Dans l'interface de ZHPFix Cliquez sur Importer et sur OK
  
  (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi76.servimg.com%2Fu%2Ff76%2F11%2F05%2F93%2F83%2Fzhpfix10.png&hash=82eae81fca857359bcb494d6274fdd887e2da1cc)
  
  IMPORTANT :Fermez toutes les applications en cours (notamment votre navigateur)
  Désactivez vos protections (Antivirus et par-feu)
  Attention :vérifiez que que toutes les lignes se sont collées
  
• Puis Cliquez sur "GO"
  
• Confirmez les nettoyages des données en cliquant sur "Oui"
  Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
  
• Une fois le scan terminé  le fichier ZHPFixReport à été crée sur le bureau.
  
• Hébergez le rapport ZHPFixReport  sur le site d'hébergement de fichiers (http://security-x.fr/up/)
  puis copier/coller le lien fourni dans votre prochaine réponse.

• Télécharges Adwcleaner (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) (de Xplode) sur ton Bureau
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Fais un double clique dessus,
  
• Cliquez sur oui pour Accepter la licence

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fimg11.hostingpics.net%2Fpics%2F845464Capture.png&hash=ae7573bc27faae475d55017b57b59de556a35de6) (http://www.hostingpics.net/viewer.php?id=845464Capture.png)

• Choisir l'option Scanner
  
• Hébergez  le contenu du rapport qui apparaît au redémarrage du PC
• sur le site ce site d'hébergement de fichiers (http://security-x.fr/up/)
  Puis copie/colle le lien fourni dans votre prochaine réponse.

Titre: Re : infection
Posté par: enes le mai 10, 2016, 03:04:49

Re, merci pour les informations concernant XP je ferais passer le message.

Voici les rapports :

ZHPFix : https://up.security-x.fr/file.php?h=Rdf34942b43646eb6e19319af8eff8de3 (https://up.security-x.fr/file.php?h=Rdf34942b43646eb6e19319af8eff8de3)

AdwCleaner : https://up.security-x.fr/file.php?h=R901b7814813733f03c40b869a0a08404 (https://up.security-x.fr/file.php?h=R901b7814813733f03c40b869a0a08404)

Titre: Re : infection
Posté par: tomtom95 le mai 10, 2016, 12:03:43

Bonjour,

Comme Microsoft ne comble plus les failles de sécurité depuis deux années.( 8 avril 2014 )
La grande majorité des logiciels présents sur l'ordinateur ne sont pas à jour et les nouvelles versions ne sont plus supportées pour XP.
Il est important de faire comprend à la personne que de naviguer sur le net avec ce système XP, c'est l'infection assurée.

Voici le reste pour terminé cette désinfection

• Vous allez supprimer les outils et Important purger la restauration.
  Téléchargez DelFix (http://general-changelog-team.fr/en/downloads/viewdownload/20-outils-de-xplode/9-delfix)(de Xplode) sur ton Bureau
  (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fnsa34.casimages.com%2Fimg%2F2013%2F11%2F29%2F131129112932572911.png&hash=c58fdc2b9050fd1c91feec2781f65c310f2d1189)
  
• Cochez les cases :
• supprimer les outils de désinfection
  
• Purger la restauration système
  
• Validez sur Exécuter
  
• Laissez travailler l'outil
• Un rapport s'ouvre Copie/colle le rapport obtenu Delfix ce supprime automatiquement
  
• Le rapport ce trouve aussi sur a la base du lecteur C\Defix.txt
  
• Hébergez le rapport Defix.txt sur le site ce site d'hébergement de fichiers (http://security-x.fr/up/)
  Puis copier/coller le lien fourni dans votre prochaine réponse.

Quelques conseils et préventions:
D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant
Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
Bien lire les accords de licence avant toute  installation.
prend quelques instants pour lire,

Lisez d'abord cliquez après !!! (http://www.vista-xp.fr/forum/topic5482.html)
Stop les publicités intempestives, programmes parasites et adwares (http://www.stoppublicites.fr/)
Attention Repack de logiciel (Repacking) (http://assiste.com/Repack_de_logiciel_Repacking.html)
OU Les sites de téléchargements qui repackent (http://www.malekal.com/les-sites-de-telechargements-qui-repackent/)
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net..
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring),
Votre PC se retrouve avec des programmes ou barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Lire  Les PUPs/LPIs (http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/)
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.


Il est important de tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Sauvegarder régulièrement les données personnelles sur un support externe.
Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player.
Avec l'outil SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) de igor51
De maintenir son antivirus à jour et analyser le système régulièrement, même chose avec un scan avec Malwarebytes.

Vous pouvez marquer votre sujet comme résolu après avoir posté le rapport Delfix

Comment passer un sujet en résolu

• Allez jusqu'au premier message de votre sujet puis cliquez sur Modifier
  
• Positionnez-vous au début du titre et ajoutez [Résolu]
  
• Cliquez sur le bouton Envoyer pour valider et c'est tout !

Titre: Re : infection
Posté par: enes le mai 10, 2016, 13:47:34

Bonjour, merci encore pour le temps que vous avez consacré.

Voici le rapport DelFix :  https://up.security-x.fr/file.php?h=Rf34fc9ccf7b075b74eb71e8e369c2cd0 (https://up.security-x.fr/file.php?h=Rf34fc9ccf7b075b74eb71e8e369c2cd0)

Titre: Re : [Résolu] infection
Posté par: tomtom95 le mai 10, 2016, 21:13:57

OK pour Delfix  :sup:

Prudence sur le net.

Bonne continuation  :AAC