Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Domitien77 le décembre 26, 2012, 19:40:51
-
Bonjour,
voici d'abord les infos de base
Windows XP
Navigateur : Firefox
Problèmes :
- Redirections à partir d'un moteur de recherche
- Pubs très dures à virer (genre des sites de monsieurs et madames pas très habillés)
- Ralentissement
Es-tu déjà aidé sur un autre forum ?
NON
As-tu passé des outils ? Si oui lesquels ? As-tu conservés les rapports générés ?
J'ai passé le PC avec Malwarebytes et rien n'est ressorti.
Voici le rapport
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.12.26.10
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Matthias :: HUARD [administrateur]
26/12/2012 19:23:53
mbam-log-2012-12-26 (19-23-53).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 247302
Temps écoulé: 6 minute(s), 55 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
On m'a conseillé Hijackthis, mais j'ai pas vraiment compris ce qu'il fallait faire.
Je suis arrivé sur votre site en cherchant un tuto de Adwcleaner. Pour ce dernier, je vais attendre vos consignes avant de me lancer dedans.
Merci d'avance pour votre aide.
:)
-
Bonjour Domitien77 et bienvenue sur Security-X,
Nous allons regarder ça.
Avant d'utiliser AdwCleaner, nous allons établir un diagnostic avec cet outil.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) de OldTimer et enregistre le sur le Bureau
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
- Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
msconfig
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
- Clique ensuite sur Analyse et patiente le temps du scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pe10.jpg&hash=2d2d95aabf4fb706bee0afd2d554fdf04571e2a8) (http://www.servimg.com/image_preview.php?i=530&u=12972154)
- A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
- Les rapports étant trop longs pour le forum, héberge-les sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Les rapports sont sauvegardés sur le Bureau.
@+
-
Merci pour l'aide.
Voici les rapports
http://security-x.fr/up/file.php?h=R9ce53620295b879e15d846475f4ed096
http://security-x.fr/up/file.php?h=Re9217fa73450868f6b8975c398e89f71
-
Re,
Les redirections se font sous quel navigateur ?
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstalle via Panneau de configuration -> Ajout/Suppression de Programmes (si présents) :
Spybot - Search & Destroy (obsolète, utilise une technologie dépassée)
Viewpoint Media Player (adware)
----------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL)
:OTL
FF - prefs.js..extensions.enabledAddons: ttzfhtavdu%40ttzfhtavdu.org:1.0
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
[2012/03/25 08:11:28 | 000,004,733 | ---- | M] () (No name found) -- C:\Documents and Settings\Matthias\Application Data\Mozilla\Firefox\Profiles\kxh4hnus.default\extensions\ttzfhtavdu@ttzfhtavdu.org.xpi
CHR - plugin: MetaStream 3 Plugin (Enabled) = C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - No CLSID value found.
O4 - HKU\S-1-5-19..\Run: [Update] rundll32.exe "C:\Documents and Settings\Matthias\Application Data\gtk-2.0\gtk-2.0\arzpii.dll",DllRegisterServer File not found
O4 - HKU\S-1-5-20..\Run: [Update] rundll32.exe "C:\Documents and Settings\Matthias\Application Data\gtk-2.0\gtk-2.0\arzpii.dll",DllRegisterServer File not found
O4 - HKU\S-1-5-21-1214440339-1682526488-1417001333-1004..\Run: [Lludub] rundll32.exe "C:\WINDOWS\monodinv.dll",Startup File not found
O4 - HKU\S-1-5-21-1214440339-1682526488-1417001333-1006..\Run: [Update] rundll32.exe "C:\Documents and Settings\Matthias\Application Data\gtk-2.0\gtk-2.0\arzpii.dll",DllRegisterServer File not found
O29 - HKLM SecurityProviders - (UnkafpacGijd.dll) - File not found
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2012/12/21 08:16:00 | 000,000,486 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2011/11/13 11:46:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Matthias\Application Data\OpenCandy
[2011/06/13 19:55:52 | 005,845,440 | ---- | M] (Uniblue Systems Ltd ) -- C:\Documents and Settings\Matthias\Application Data\OpenCandy\OpenCandy_B72670A27CB14B6DA81EDF79E3AA95DF\driverscanner (20).exe
[2011/11/13 11:46:01 | 000,416,160 | ---- | M] () -- C:\Documents and Settings\Matthias\Application Data\OpenCandy\OpenCandy_B72670A27CB14B6DA81EDF79E3AA95DF\LatestDLMgr.exe
[2010/08/31 15:26:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Viewpoint
[2010/11/16 11:47:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Matthias\Application Data\Viewpoint
@Alternate Data Stream - 165 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DD4DD9B9
:files
ipconfig /flushdns /c
:Commands
[EMPTYTEMP]
- Colle l'intégralité du script dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi27.servimg.com%2Fu%2Ff27%2F12%2F97%2F21%2F54%2Fotl_co10.jpg&hash=4c78298f5e7d37299e9302c79ed0c09e23bc039e) (http://www.servimg.com/image_preview.php?i=470&u=12972154)
- L'outil lance la suppression, ne pas l'interrompre
- Si l'outil te demande de redémarrer le PC, tu acceptes
- Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
----------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) AdwCleaner - Suppression :
- Sur cette page, télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
- A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)
----------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Malwarebyte's Anti-Malware :
- Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Lance une mise à jour dans l'onglet Mise à jour
- Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
- Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
- Sélectionne ton disque dur, puis clique sur Lancer l'examen
- A la fin du scan, clique sur Afficher les résultats
- Pour supprimer les éléments détectés, clique sur Supprimer la sélection
- Si un redémarrage est demandé, clique sur Yes
- Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
---------------------------------------------------------------------------------------------
Sont attendus les rapports :
- C:\_OTL\MovedFiles\********_******.log
- AdwCleaner(S).txt
- mbam-log[date-heure].txt
@+
-
Voici les trois rapports
OTL
http://security-x.fr/up/file.php?h=R6fccedcd05d6b936dab287670b1a9c59
ADWCleaner
http://security-x.fr/up/file.php?h=R5e2de032b9f70c6479bfe00d7cdaedb8
Malewarebytes
http://security-x.fr/up/file.php?h=R4bdde4b8e992a9d3b3c9c1d0d9b249b0
Voilà, merci encore pour l'aide.
-
Bonjour,
OK pour les rapports.
Comment se comporte le système ?
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Mets à jour Firefox :
Télécharge et installe cette dernière version Firefox (http://www.mozilla.org/fr/firefox/fx/) ou mets à jour directement via Firefox -> Aide -> A propos de Firefox
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstalle Java(TM) 6 Update 15 via Panneau de configuration -> Programmes et fonctionnalités.
Installe la dernière version Java 7 Update 10
http://www.java.com/fr/download/
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) SX Check&Update :
- Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) de igor51 et enregistre-le sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Rapport
- Copie-colle le contenu de ce rapport dans ta prochaine réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)
---------------------------------------------------------------------------------------------
Est attendu le rapport SX Check&Update
@+
-
Pas de problème particulier avec mon système, tout semble fonctionner normalement.
Voici le rapport demandé.
http://security-x.fr/up/file.php?h=Rda820635e789fd9497fae4a92e450e2e
-
Re,
Pas de problème particulier avec mon système, tout semble fonctionner normalement.
OK donc plus de redirections et de pubs intempestives ?
OK pour le rapport SXCU.
Nous allons donc pouvoir finaliser la procédure.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Purge points de restauration :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous
:Commands
[CLEARALLRESTOREPOINTS]
[EMPTYTEMP]
- Colle l'intégralité du code dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
- Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstallation des outils utilisés :
Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur Purge d'outils
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pu10.jpg&hash=dc5fbf287c3bfd6a19d5f935367d8fcaa683bbaf) (http://www.servimg.com/image_preview.php?i=559&u=12972154)
- Valide l'avertissement par OK et laisse le pc redémarrer
- Relance AdwCleaner et clique sur Désinstaller
- Supprime SXCU de ton Bureau
- Supprime tous les rapports générés restants
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Quelques précisions et conseils :
- D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ? (http://forum.malekal.com/pourquoi-et-comment-je-me-fais-infecter-t3259.html)
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
/!\ Bien lire les accords de licence (http://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/msg53123/#msg53123) avant toute installlation, des études ont montré que La France est championne du monde de malwares ! (http://www.zebulon.fr/actualites/8054-france-championne-monde-malwares.html)
/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
/!\ Sauvegarder régulièrement les données personnelles sur un support externe
/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
- Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-malwarebyte%27s-anti-malware/)
- Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Vérifier aussi d'avoir toujours la dernière version de Java (http://java.com/fr/download/manual.jsp) et Flash Player (http://get.adobe.com/fr/flashplayer/)
Il faut l'installer Flash Player sous chaque navigateur présent sur le système
Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
Maintenir Java, Adobe Reader et le player Flash à jour (http://www.malekal.com/2010/11/15/maintenir-java-adobe-reader-et-le-player-flash-a-jour/)
Exploitation SWF/PDF et Java - système non à jour = danger (http://forum.malekal.com/exploitation-swf-pdf-java-systeme-non-jour-danger-t13629.html)
- Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation
Firefox sécurisé (http://forum.security-x.fr/tutoriels-317/firefox-securise/)
/!\ Une attitude responsable sur le net est la meilleure protection pour ton système
Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
N'hésite pas si tu as des questions.
Pour en savoir plus, clique sur l'image pour télécharger ce PDF (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)
-
Merci pour votre aide.
Cela a même réglé un petit souci au démarrage.
Je vous tiens au courant si cela revient éventuellement.
Petite question : y a un moment d'avoir une sorte de "guide" qui permettrait de lire les différents rapports obtenus. J'aime bien comprendre les choses donc voilà.
:miam:
-
:D
y a un moment d'avoir une sorte de "guide" qui permettrait de lire les différents rapports obtenus. J'aime bien comprendre les choses donc voilà.
Le meilleur moyen c'est de suivre la formation justement :NNN
Tu apprendras les bases de la désinfection, puis petit à petit à désinfecter et à interpréter les rapports générés par les outils de désinfection.
http://forum.security-x.fr/inscription-et-informations/
-
Merci pour ta réponse.
Et à nouveau, merci pour ton aide.
:BAN