Security-X
Forum Security-X => Désinfections => Discussion démarrée par: c3g le septembre 27, 2013, 16:23:09
-
Bonjour
Infection Gol search sur PC W7-64 bits
Un passage AdwCleaner : rapport en pièce jointe
Un passage Malwarebytes : rapport en pj
Gol search toujours présent à l'ouverture de Internet explorer
Merci pour l'aide
-
Bonjour,
Je regarde tes rapports et t'indique la suite.
@+
-
Re,
Nous allons regarder ça en commençant par établir un rapport de diagnostic avec cet outil :
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) FRST - version 64 bits :
- Télécharge FRST (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/) de Farbar et enregistre le fichier sur ton Bureau <-- Important
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST64.exe et clique sur Oui pour accepter le Disclaimer
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
- Héberge ces rapports sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
---------------------------------------------------------------------------------------------
Sont attendus les rapports FRST.txt et Addition.txt
@+
-
Re et merci pour ton aide
Scan FRST64 effectué
fichier addition.txt http://up.security-x.fr/file.php?h=R3df5d05398a3b3de48da0b65642731fc
fichier FRST.txt http://up.security-x.fr/file.php?h=Rd88aea801f9634a667d68be2864cceb8
@ plus
-
Re,
Il faut être vigilant sur ce que tu valides lors de l'installation de logiciels gratuits, bien lire les conditions d'utilisation et ne pas accepter tout ce qui est proposé avec (cases pré-cochées).
Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :
FrameFox Extensions
Windows Live Messenger (obsolète, a été remplacé par Skype)
Désinstalle aussi les autres modules de la suite Windows Live que tu n'utilises pas, hormis Windows Live Mail si utilisé :
Comment faire pour supprimer et réinstaller Windows Live (http://support.microsoft.com/kb/938275/fr)
Si un programme ne veut pas se désinstaller, tu passes au suivant.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) FRST - Correctif :
/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images (http://forum.security-x.fr/windows-7/%28tutoriel%29-creer-un-point-de-restauration-sous-windows-7/) /!\
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
Task: {1294DDC0-F392-4368-A8DA-B9047F74FE3F} - \DuuquUpdateTaskMachineUA No Task File
Task: {2FFCF6D2-EA48-43AB-A655-3B03284AC9E1} - \BitGuard No Task File
Task: {3B0BC235-0C8E-4CB0-8F79-5D5249D18818} - \BoxSoftwareUpdate No Task File
Task: {D4D5F87E-60F4-42E2-8474-14EF27D8E01F} - \Dealply No Task File
Task: {DBA6AFAB-D1FA-4087-8BB5-86F99828E154} - \DuuquUpdateTaskMachineCore No Task File
AlternateDataStreams: C:\ProgramData\Temp:373E1720
AlternateDataStreams: C:\ProgramData\Temp:AD022376
AlternateDataStreams: C:\ProgramData\Temp:D346F792
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
MountPoints2: K - K:\Password.exe
MountPoints2: {5f1d14fb-2206-11e0-88ba-78e7d1821e27} - J:\Password.exe
AppInit_DLLs: [1715768 2010-09-28] ()
AppInit_DLLs-x32: c:\progra~3\bitguard\261673~1.238\{c16c1~1\bitguard.dll [ ] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.golsearch.com/?babsrc=HP_ss_Btisdt6&mntrId=ACB770F1A1937C94&affID=119982&tt=160913_c1&tsp=5013
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR Plugin: (McAfee Security Scanner +) - C:\Program Files (x86)\McAfee Security Scan\3.0.318\npMcAfeeMss.dll No File
CHR HKLM-x32\...\Chrome\Extension: [ljidjdddaoiogpbmniipclcppkoembao] - C:\Program Files (x86)\bomlabio\ljidjdddaoiogpbmniipclcppkoembao.crx
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
2013-09-26 15:29 - 2013-09-26 16:18 - 00000000 ____D C:\sh4ldr
2013-09-26 15:29 - 2013-09-26 15:29 - 00000000 ____D C:\Program Files\Enigma Software Group
2013-09-26 15:27 - 2013-09-26 16:18 - 00000000 ____D C:\Windows\86CA3695A4124BAE92B649A60C2AC663.TMP
2013-09-25 22:51 - 2013-09-26 14:58 - 00000552 _____ C:\Users\Michel COURSERAND\AppData\Roaming\Microsoft\Windows\Start Menu\Gol Search.website
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST64.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
--------------------------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) TFC - Nettoyage des fichiers temporaires :
- Télécharge TFC (http://oldtimer.geekstogo.com/TFC.exe) de OldTimer et enregistre-le sur ton Bureau
- Ferme toutes les applications en cours
- Double-clique sur TFC.exe sur ton Bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
- Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage
--------------------------------------------------------------------------------------------------------------
Ensuite tu relances AdwCleaner en mode Suppression et tu postes le nouveau rapport obtenu.
--------------------------------------------------------------------------------------------------------------
Sont attendus les rapports :
Fixlog
AdwCleaner
@+
-
euh, désolé,......moi pas comprendre "Adwcleaner en mode suppression"
-
Re,
Comme tu l'as fait la 1ère fois.
Je te mets la procédure si tu ne t'en souviens plus.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) AdwCleaner - Suppression :
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Scanner
- Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
- Patiente le temps de l'analyse et valide le message d'informations
- Un redémarrage est demandé, valider par OK
- Au redémarrage, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(S).txt
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)
Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)
@+
-
Bon pour ADW cleaner, j'ai fait scan + nettoyage en attendant (procédure confirmée par ton comm précédent)
2 rapports en pj
@+
-
Re,
OK pour les rapports.
Qu'en est-il de la page de démarrage de Internet Explorer ?
Pour Google Chrome :
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Suis cette procédure pour Arrêter la synchronisation et supprimer les données de Google :
Supprimer des données synchronisées de votre compte Google
Vous pouvez supprimer les données synchronisées de votre compte Google à tout moment depuis votre tableau de bord Google Dashboard (http://www.google.com/dashboard).
1. Cliquez sur le menu Google Chrome (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fstorage.googleapis.com%2Fsupport-kms-prod%2FSNP_2696434_en_v1&hash=fc66700ec2e3428b4396e4069d8aab95e9980a23) dans la barre d'outils du navigateur.
2. Sélectionnez Connecté en tant que <votre adresse e-mail>.
3. Dans la section "Connexion", cliquez sur Google Dashboard.
4. Accédez à la section "Synchronisation de Google Chrome" du tableau de bord, puis cliquez sur Arrêter la synchronisation et supprimer les données de Google.
La synchronisation est désactivée, et toutes les données synchronisées qui ont été enregistrées dans votre compte Google sont supprimées. Elles sont toutefois conservées sur votre ordinateur. Cela signifie que des informations telles que les favoris, les applications et les extensions présentes sur l'ordinateur que vous utilisez n'apparaîtront pas si vous vous êtes connecté à Google Chrome depuis un autre ordinateur et avez activé la synchronisation sur celui-ci.
Support Google Chrome (http://support.google.com/chrome/bin/answer.py?hl=fr&answer=185277)
---------------------------------------------------------------------------------------------
Supprime toute trace de delta-search dans le démarrage de Chrome :
1. Ouvre Google Chrome et clique sur (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fstorage.googleapis.com%2Fsupport-kms-prod%2FSNP_2696434_en_v1&hash=fc66700ec2e3428b4396e4069d8aab95e9980a23) dans la barre d'outils du navigateur.
2. Sélectionne Paramètres
3. Dans la section "Au démarrage", coche Ouvrir une page ou un ensemble de pages spécifiques et clique sur Ensemble de pages
4. Supprime delta-search de la liste si présent.
---------------------------------------------------------------------------------------------
Supprime toute trace de delta-search dans la gestion des moteurs de recherche de Google Chrome :
Pour supprimer manuellement des moteurs de recherche dans le navigateur, suivez la procédure ci-dessous.
1. Cliquez sur le menu Google Chrome (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fstorage.googleapis.com%2Fsupport-kms-prod%2FSNP_2696434_en_v1&hash=fc66700ec2e3428b4396e4069d8aab95e9980a23) dans la barre d'outils du navigateur.
2. Sélectionnez Paramètres, puis accédez à la section "Recherche".
3. Cliquez sur Gérer les moteurs de recherche.
4. Sélectionnez le moteur de recherche à supprimer, puis cliquez sur la croix (x) qui se trouve à la fin de la ligne.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fup%2Ffile.php%3Fh%3DR4bfc3c1fb5a498d8f291c6f940865ffd&hash=0c82464070a82250971f536d41f0c03303b036f9)
Support Google Chrome (http://support.google.com/chrome/bin/answer.py?hl=fr&answer=95653)
---------------------------------------------------------------------------------------------
Nous allons vérifier les extensions pouvant présenter des failles de sécurité.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) SX Check&Update :
- Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) de igor51 et enregistre-le sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXCU.exe pour lancer l'application
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Rapport
- Poste le rapport_SX.txt dans ta prochaine réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXCU.exe est sûr)
---------------------------------------------------------------------------------------------
Est attendu le rapport SXCU
@+
-
re
dans la gestion des moteurs de recherche, je n'arrive pas à supprimer delta search
-
re,
1) démarrage internet explorer ok
2) pas de synchronisation avec compte google
3) impossible de se débarrasser de delta search dans la gestion des moteurs de recherche
4) rapport sx en pj
@ plus
-
Re,
Pour la gestion des moteurs de recherche, tu as bien suivi les instructions du lien du support Chrome ?
https://support.google.com/chrome/answer/95653?hl=fr
Applique aussi cette procédure pour vider le cache et effacer les autres données du navigateur :
https://support.google.com/chrome/answer/95582?hl=fr
@+
-
re,
1) tous les caches vidés
2) procédure google suivie scrupuleusement : la petite croix pour supprimer n'apparait pas sur la ligne du moteur delta search
@ plus
-
Re,
Désinstalle Chrome, redémarre le PC et ré-installe le :
http://www.google.fr/chrome/
-
Bonjour à toi
Désinstal / réinstall de Chrome ok.
Delta Search a disparu dans le paramétrage des moteurs de recherche.
Question : j'ai un autre pc avec la même infection. Il faut ouvrir un autre sujet ?
J'attends tes consignes pour la clôture de ce sujet.
@ plus
-
Bonjour,
Désinstal / réinstall de Chrome ok.
Delta Search a disparu dans le paramétrage des moteurs de recherche.
Bien, nous en voilà débarrasser :NNN
Un peu coriace celui-ci !
j'ai un autre pc avec la même infection. Il faut ouvrir un autre sujet ?
Oui, il te faut ouvrir un autre sujet.
Un seul sujet par internaute et par PC :D
J'attends tes consignes pour la clôture de ce sujet.
OK, nous finalisons donc la procédure.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) DelFix :
- Sur cette page, télécharge DelFix (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/9-delfix) de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
- Double-clique sur l'icône Delfix.exe pour lancer l'outil
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, coche uniquement les options
- Supprimer les outils de désinfection
- Purger la restauration système
- Clique ensuite sur Exécuter et laisse l'outil travailler
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR61402f49815db4f9a876f469e865c3a9&hash=60ec4ed19f7f9871b63f941c16a7529889531079)
- Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\DelFix.txt
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Quelques précisions et conseils :
- D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ? (http://forum.malekal.com/pourquoi-et-comment-je-me-fais-infecter-t3259.html)
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
/!\ Bien lire les accords de licence (http://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/msg53123/#msg53123) avant toute installlation, des études ont montré que La France est championne du monde de malwares ! (http://www.zebulon.fr/actualites/8054-france-championne-monde-malwares.html)
/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
/!\ Sauvegarder régulièrement les données personnelles sur un support externe
/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
- Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-malwarebyte%27s-anti-malware/)
- Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Vérifier aussi d'avoir toujours la dernière version de Java (http://java.com/fr/download/manual.jsp) et Flash Player (http://get.adobe.com/fr/flashplayer/)
Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
Maintenir Java, Adobe Reader et le player Flash à jour (http://www.malekal.com/2010/11/15/maintenir-java-adobe-reader-et-le-player-flash-a-jour/)
Exploitation SWF/PDF et Java - système non à jour = danger (http://forum.malekal.com/exploitation-swf-pdf-java-systeme-non-jour-danger-t13629.html)
- Au niveau de Firefox (http://forum.security-x.fr/tutoriels-317/firefox-securise/) et Chrome (http://www.malekal.com/2013/01/14/securiser-google-chrome/), tu peux sécuriser ta navigation
/!\ Une attitude responsable sur le net est la meilleure protection pour ton système
Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
N'hésite pas si tu as des questions.
Pour en savoir plus, clique sur l'image pour télécharger ce PDF (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)
-
Re,
Merci pour ton aide très professionnelle et tous tes conseils.
Mais je ne suis pas l'utilisateur principal de ce PC, et mon beau-père qui s'en sert est lui un cliqueur compulsif !!!!!
J'attends ton feu vert définitif sur ce cas pour poster ma seconde infection.
Encore merci.
C'est la deuxième fois où je vous fait phosphorer sur mes soucis et je vous adresse mes plus vives félicitations : bravo pour ton efficacité et ta disponibilité, et plus largement, merci à security x
-
Re,
OK pour le dernier rapport.
Mais je ne suis pas l'utilisateur principal de ce PC, et mon beau-père qui s'en sert est lui un cliqueur compulsif !!!!!
Essaye de l'alerter sur les points les plus importants.
Cette fois-ci, c'était une infection par adwares et programmes indésirables, mais ce peut être aussi une infection plus grave, avec risque de blocage du système, perte ou vol de données, vol d'identifiants bancaires et autres .......
J'attends ton feu vert définitif sur ce cas pour poster ma seconde infection.
C'est bon pour ce PC, nous avons terminé ;)
et plus largement, merci à security x
:AAN