Security-X
Forum Security-X => Désinfections => Discussion démarrée par: lilouly le février 19, 2013, 16:23:59
-
Bonjour,
Je rencontre des problèmes de ralentissement et de pub sur mon ordinateur qui deviennent franchement chiant à supporter.
Je suis sous windows 7 et mon système d'exploitation est 64 bits.
Merci de l'aide que vous pourrez m'apporter !
-
Voila le rapport AdwCleaner
-
Bonsoir Lilouly :D
Nous allons nous occuper de ce sujet ensemble. Je vais procéder par étapes (1 étape = une citation avec les instructions.), il te faudra les suivres impérativement dans l'ordre ^^
Nous allons faire un rapport avec OTL.
Scan avec l'outil OTL
Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de OldTimer) sur ton Bureau.
- Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et le laisse travailler.
- Coche les cases Recherche LOP et Recherche Purity (En bleu vers le bas de la fenêtre).
- Sous la zone Personnalisation, copie/colle ceci :
netsvcs
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
C:\Windows\installer\*.* /s
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%systemroot%\*. /mp /s
/md5start
consrv.dll
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
SAVEMBR:0
CREATERESTOREPOINT
- Clique sur le bouton Analyse. Ne change aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fup%2Ffile.php%3Fh%3DR6bf61dfacd928de986ee709350e195cf&hash=03645c8d649e05e05196f29eabc6fc4295f0a253)
- A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
Pour le OTL, héberge-les sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Les rapports sont sauvegardés sur le Bureau.
Bonne soirée :)
-
Merci :)
-
Bonsoir Lilouly, on attaque donc !
Tu es bel et bien infecté par plusieurs adwares/PUP. J'ai vu que tu avais déjà eu une désinfection ici, il va falloir faire un peu plus attention :NNN
Quelques précision concernant certains points :
Les produits adobe sont licensiés et il y a bien d'autres alternatives gratuites et qui sont tout aussi bien.
Le fait de contourner ces licenses peut présenter des risques bien plus importants que ces infections (o)
Il faut penser à lire lors des installations afin de décocher les cases pré-cochées, ainsi que penser à privilégier les sites des éditeurs.
Les extensions afin de faire "sauter" les limitations des sites de streaming sont généralement, avec ces sites, des vecteurs d'infections.. !
Début de la désinfection :
Laisse ton ordinateur travailler. S'il te demande un redémarrage, redémarre le.
Désinstallation des adwares.
- Menu démarrer, panneau de configuration.
- Ajouts/suppressions programme.
- Cherches :
- IB Updater Service (Adware)
- Yontoo 1.12.02 (Adware)
- OnlineHDTV (PUP)
- PrivitizeVPN (PUP)
AdwCleaner - Suppression :
- Ferme toutes les applications, y compris ton navigateur
- Relance AdwCleaner par un double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Suppression et patiente le temps que l'outil travaille. A la fin, l'ordinateur va redémarrer.
- Une fois redémarrer, le rapport AdwCleaner
.txt s'ouvre, poste le dans ta prochaine réponse.
Le rapport se trouve sous C:\AdwCleaner.txt
Suppression avec OTL
- Relance OTL.exe.
(Sous windows vista/7, cliques droit, Exécuter en tant qu'administrateur)
Utilisateur AVAST, ne lancez pas OTL sous la sandbox
- Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :
:OTL
PRC - [2012/10/09 16:00:16 | 000,188,760 | ---- | M] () -- C:\Program Files\IB Updater\ExtensionUpdaterService.exe
SRV:[b]64bit:[/b] - [2012/10/09 16:00:16 | 000,188,760 | ---- | M] () [Auto | Running] -- C:\Program Files\IB Updater\ExtensionUpdaterService.exe -- (IB Updater)
SRV:[b]64bit:[/b] - [2012/10/02 16:20:24 | 001,261,936 | ---- | M] () [Auto | Running] -- C:\Windows\SysNative\dmwu.exe -- (IBUpdaterService)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/mb128?a=6OySi6Vu31&i=26
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=LMW4&o=16795&src=crm&q={searchTerms}&locale=fr_FR
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6OySi6Vu31&i=26
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..extensions.enabledAddons: ffxtlbr%40incredibar.com:1.5.0
FF - prefs.js..extensions.enabledAddons: plugin%40yontoo.com:1.20.00
FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb128/?loc=IB_DS&a=6OySi6Vu31&&i=26&search="
FF - prefs.js..extensions.enabledItems: illimitux@illimitux.net:4.0 -> Extension
[2012/10/26 16:57:23 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Users\Léa\AppData\Roaming\mozilla\Firefox\Profiles\r55th9ha.default\extensions\ffxtlbr@incredibar.com
[2011/03/12 17:21:51 | 000,000,000 | ---D | M] (Illimitux) -- C:\Users\Léa\AppData\Roaming\mozilla\Firefox\Profiles\r55th9ha.default\extensions\illimitux@illimitux.net
[2013/01/27 18:03:32 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\Léa\AppData\Roaming\mozilla\Firefox\Profiles\r55th9ha.default\extensions\plugin@yontoo.com
[2012/11/19 16:01:55 | 000,215,985 | ---- | M] () (No name found) -- C:\Users\Léa\AppData\Roaming\mozilla\firefox\profiles\r55th9ha.default\extensions\onlinehdtv@onlinehd.tv.xpi
[2012/10/26 16:47:33 | 000,214,909 | ---- | M] () (No name found) -- C:\Users\Léa\AppData\Roaming\mozilla\firefox\profiles\r55th9ha.default\extensions\trash\onlinehdtv@onlinehd.tv.xpi
[2011/08/19 20:09:55 | 000,002,255 | ---- | M] () -- C:\Users\Léa\AppData\Roaming\mozilla\firefox\profiles\r55th9ha.default\searchplugins\askcom.xml
[2011/07/03 15:01:22 | 000,002,055 | ---- | M] () -- C:\Users\Léa\AppData\Roaming\mozilla\firefox\profiles\r55th9ha.default\searchplugins\daemon-search.xml
File not found (No name found) -- C:\USERS\LéA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\R55TH9HA.DEFAULT\EXTENSIONS\FFXTLBR@INCREDIBAR.COM
File not found (No name found) -- C:\USERS\LéA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\R55TH9HA.DEFAULT\EXTENSIONS\PLUGIN@YONTOO.COM
CHR - Extension: Online HD TV = C:\Users\Léa\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkinklhnkmkhkhofcnapakaoehijaoih\1.2_0\
CHR - Extension: IB Updater = C:\Users\Léa\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd\2.0.0.542_0\
CHR - Extension: Yontoo = C:\Users\Léa\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.3_0\
O2:[b]64bit:[/b] - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\IB Updater\Extension64.dll ()
O2 - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\IB Updater\Extension32.dll ()
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll (Yontoo LLC)
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [PrivitizeVPN] C:\Program Files (x86)\PrivitizeVPN\PrivitizeVPN.exe (OOO Industry)
:Commands
[resethost]
[emptytemp]
- Colle (ou Ctrl+V) le texte précédemment copié dans le cadre Personnalisation en bas à gauche.
- Cliques maintenant sur le bouton Correction en haut à gauche.
Ton PC va redémarrer automatiquement, si ce n'est pas le cas, fais le manuellement.
Le rapport de suppression s'ouvrira une fois le PC redémarré. Poste le dans ta prochaine réponse.
Le rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure.
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Pour le rapport OTL et ADWCleaner, héberge-les sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Les rapports sont sauvegardés sur le Bureau.
Bonne soirée :)
-
Bonjour,
J'ai tout fait. Je tiens quand même à préciser que la désinfection était pour l'ordinateur de ma mère ;) Là c'est pour le mien ^^
Je n'ai trouvé aucun des ardwares dans les logiciels donc rien n'a été désinstallé puisqu'il n'y en avait aucun.
Merci
-
Bonjour Lilouly,
Ouip, j'ai remarqué que ce ne sont pas les mêmes PC après avoir lu. Mais les problèmes restent les mêmes :NNN
Ok pour le rapport ADWCleaner.
Pour le rapport OTL, il n'a pas marché, ou tu t'es peut être trompé de fichier lors de l'envoie. (Ou une erreur de copié/collé).
Nous allons donc refaire un scan de contrôle.
Scan avec l'outil OTL
- Relance OTL. Assure toi que toutes les autres fenêtres de Windows soient fermées et le laisse travailler.
- Coche les cases Recherche LOP et Recherche Purity (En bleu vers le bas de la fenêtre).
- Sous la zone Personnalisation, copie/colle ceci :
netsvcs
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
C:\Windows\installer\*.* /s
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%systemroot%\*. /mp /s
/md5start
consrv.dll
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
CREATERESTOREPOINT
- Clique sur le bouton Analyse. Ne change aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fup%2Ffile.php%3Fh%3DR6bf61dfacd928de986ee709350e195cf&hash=03645c8d649e05e05196f29eabc6fc4295f0a253)
- A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
Pour le rapport OTL, héberge-le sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Les rapports sont sauvegardés sur le Bureau.
-
Voilà le scan OTL par contre il n'y a pas de Extra
-
Bonsoir lilouly,
c'est normal pour le rapport extra.txt et ce n'est pas grave. Je vérifie le rapport et te donne les instructions ;)
:AAC
-
Re Lilouly,
On y va, ADWCleaner a fait un bon ménage, on va terminer cette désinfection O0
Suppression avec OTL
- Relance OTL.exe.
(Sous windows vista/7, cliques droit, Exécuter en tant qu'administrateur)
Utilisateur AVAST, ne lancez pas OTL sous la sandbox
- Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous : ( Clique sur [Sélectionner] puis fait un ctrl + c)
:OTL
FF - prefs.js..extensions.enabledItems: illimitux@illimitux.net:4.0
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX
:Commands
[resethost]
[emptytemp]
- Colle (ou Ctrl+V) le texte précédemment copié dans le cadre Personnalisation en bas à gauche.
- Cliques maintenant sur le bouton Correction en haut à gauche.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fup%2Ffile.php%3Fh%3DRdca8f117b67a9dff4e2df165aab8aa89&hash=3bdc9e03f0ff06fcb93fe8ae2fea976933d0bd78)
Ton PC va redémarrer automatiquement, si ce n'est pas le cas, fais le manuellement.
Le rapport de suppression s'ouvrira une fois le PC redémarré. Poste le dans ta prochaine réponse.
Le rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure.
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Ensuite :
SX Check&Update :
- Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) et enregistre-le sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Rapport
- Poste le rapport rapport_SX.txt dans ta prochaine réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)
-->> Pour le rapport OTL et SX C&U, héberge-les sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Bonne soirée :)
-
Merci voilà les rapports :
-
Bonsoir lilouly,
Ok pour le rapport OTL, une commande n'a pas marché, j'ai oublié un caractère ^^
Suppression avec OTL
- Relance OTL.exe.
(Sous windows vista/7, cliques droit, Exécuter en tant qu'administrateur)
Utilisateur AVAST, ne lancez pas OTL sous la sandbox
- Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous : ( Clique sur [Sélectionner] puis fait un ctrl + c)
:Commands
[resethosts]
- Colle (ou Ctrl+V) le texte précédemment copié dans le cadre Personnalisation en bas à gauche.
- Cliques maintenant sur le bouton Correction en haut à gauche.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fup%2Ffile.php%3Fh%3DRdca8f117b67a9dff4e2df165aab8aa89&hash=3bdc9e03f0ff06fcb93fe8ae2fea976933d0bd78)
Le rapport de suppression s'ouvrira une fois que le logiciel aura finis. Poste le dans ta prochaine réponse.
Le rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure.
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Adobe Reader n'est pas à jour.
Mise à jour Adobe Reader
- Va sur http://get.adobe.com/fr/reader/.
- Décoche la case "Oui, installer McAfee Security Scan Plus (facultatif) (0,9 MO)".
- Puis clique sur Télécharger maintenant
- Une fois le telechargement finis, lance l'executable puis suis les instructions. Pense à cocher "Faire les mise à jour automatiquement".
Comment se comporte le PC actuellement ?
Reste-t-il des soucis lié aux pubs ou autre ?
Bonne soirée.
-
Voilà le rapport OTL
Adobe Reader est à jour, je l'ai mis à jour après avoir posté mon message.
Merci
-
Bonjour lilouly,
Ok pour Adobe Reader et pour le rapport.
Comment se comporte le PC actuellement ?
Reste-t-il des soucis lié aux pubs ou autre ?
:AAC
-
Le PC va bien, à priori plus de pubs :)
-
Re,
Ok, on finis donc ;)
Une fois terminé, édite ton premier message et indique à la fin du Titre [Résolu]
-------------------------------------------------------------------------------------------------------------------------
Suppression avec OTL
- Relance OTL.exe.
(Sous windows vista/7, cliques droit, Exécuter en tant qu'administrateur)
Utilisateur AVAST, ne lancez pas OTL sous la sandbox
- Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous : ( Clique sur [Sélectionner] puis fait un ctrl + c)
:Commands
[CLEARALLRESTOREPOINTS]
- Colle (ou Ctrl+V) le texte précédemment copié dans le cadre Personnalisation en bas à gauche.
- Cliques maintenant sur le bouton Correction en haut à gauche.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fup%2Ffile.php%3Fh%3DRdca8f117b67a9dff4e2df165aab8aa89&hash=3bdc9e03f0ff06fcb93fe8ae2fea976933d0bd78)
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
-------------------------------------------------------------------------------------------------------------------------
Purge des outils et fin de la désinfection.
- Relance ADWCleaner puis clique sur Désinstaller.
- Supprime SX Check & Update.
- Relance OTL puis clique sur Purge Outils, et laisse le PC redémarrer.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fup%2Ffile.php%3Fh%3DR556a6cc63f7e9542f5588293d909da90&hash=296b6f0594394b180d800730f99e286dd13537e2)
- Supprime tous les rapports générés restant.
-------------------------------------------------------------------------------------------------------------------------
Quelques précisions et conseils :
=> Tu as été infecté car tu n'as fait attention lors de l'installation des logiciels. Attention aux cases pré-cochées.
=> Attention également aux cracks, il existe de nombreux logiciels gratuits équivalents aux logiciels payant, de plus, c'est un vecteur d'infection.
=> Les extensions afin de faire "sauter" les limitations des sites de streaming sont généralement, avec ces sites, des vecteurs d'infections.. !
Bonne soirée,
Ammonium
-
Voilà tout est fait. Merci bien en tout cas
Bon week end !