Security-X
Forum Security-X => Désinfections => Discussion démarrée par: christuf le décembre 04, 2012, 19:48:21
-
Bonsoir,
apres avoir ouvert ma page, internet je constate que snap.do m'a infecté,
j'ai essayé malwares mais je suis une quiche en informatique.
Pouvez-vous m'aider ?
Merci
Cordialement
-
Bonjour christuf et bienvenue sur Security-X,
Nous allons regarder ton souci, en établissant un diagnostic de ton système.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) de OldTimer et enregistre le sur le Bureau
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
- Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
msconfig
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
- Clique ensuite sur Analyse et patiente le temps du scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pe10.jpg&hash=2d2d95aabf4fb706bee0afd2d554fdf04571e2a8) (http://www.servimg.com/image_preview.php?i=530&u=12972154)
- A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
- Les rapports étant trop longs pour le forum, héberge-les sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Les rapports sont sauvegardés sur le Bureau.
@+
-
Merci pour cette réponse tres rapide, c'est gentil
voila pour le rapport :
http://security-x.fr/up/file.php?h=R1dea674eb5ad9e53cbf54aa520743610
-
http://security-x.fr/up/file.php?h=Rbf6ab38ba2168723f15b6f6a749ba246
-
Re,
Il faut être vigilant sur ce que tu valides lors de l'installation de logiciels gratuits et ne pas accepter tout ce qui est proposé avec.
Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstalle ces adwares via Panneau de configuration -> Programmes et fonctionnalités (si présents) :
Wajam
Software Update
Yontoo
Giant Savings
OfferBox
Nosibay
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) AdwCleaner - Suppression :
- Sur cette page, télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
- A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL) (Sélectionner -> clic-droit -> Copier)
:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=25a99c72-2cbe-4737-815f-3d6a9b30871c&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-299022670-2339260933-3332099042-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=25a99c72-2cbe-4737-815f-3d6a9b30871c&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-299022670-2339260933-3332099042-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=25a99c72-2cbe-4737-815f-3d6a9b30871c&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-299022670-2339260933-3332099042-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=25a99c72-2cbe-4737-815f-3d6a9b30871c&searchtype=hp
IE - HKU\S-1-5-21-299022670-2339260933-3332099042-1002\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=25a99c72-2cbe-4737-815f-3d6a9b30871c&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-299022670-2339260933-3332099042-1002\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=25a99c72-2cbe-4737-815f-3d6a9b30871c&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-299022670-2339260933-3332099042-1002\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKU\S-1-5-21-299022670-2339260933-3332099042-1002\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=25a99c72-2cbe-4737-815f-3d6a9b30871c&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-299022670-2339260933-3332099042-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&babsrc=SP_def&affID=17425&tt=3012_2
FF - HKLM\Software\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8: C:\Program Files (x86)\Software\Update\1.2.199.0\npSoftwareOneClick8.dll File not found
CHR - homepage: http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=25a99c72-2cbe-4737-815f-3d6a9b30871c&searchtype=hp
CHR - homepage: http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=25a99c72-2cbe-4737-815f-3d6a9b30871c&searchtype=hp
O2 - BHO: (Wajam) - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files (x86)\Wajam\IE\priam_bho.dll (Wajam)
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-21-299022670-2339260933-3332099042-1002..\Run: [Bubble Dock] "C:\Users\Christophe\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup File not found
MsConfig:64bit - StartUpReg: [b]Boxore Client[/b] - hkey= - key= - File not found
MsConfig:64bit - StartUpReg: [b]offerbox[/b] - hkey= - key= - C:\Program Files (x86)\OfferBox\OfferBox.exe (Aedge Performance BCN SL)
MsConfig:64bit - StartUpReg: [b]SweetIM[/b] - hkey= - key= - File not found
MsConfig:64bit - StartUpReg: [b]Sweetpacks Communicator[/b] - hkey= - key= - File not found
[2012/12/01 20:03:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Nosibay
[2012/12/01 20:01:07 | 000,000,000 | ---D | C] -- C:\Users\Christophe\AppData\Roaming\Nosibay
[2012/11/21 21:08:54 | 000,000,000 | ---D | C] -- C:\Users\Christophe\AppData\Roaming\OpenCandy
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2012/12/04 20:15:00 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\SoftwareUpdateTaskMachineUA.job
[2012/12/04 19:36:32 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\SoftwareUpdateTaskMachineCore.job
[2012/07/28 21:13:37 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\Iminent
[2012/07/30 21:43:15 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\OfferBox
[2012/11/21 21:08:54 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\OpenCandy
[2012/09/05 19:37:28 | 008,876,616 | ---- | M] () -- C:\Users\Christophe\AppData\Roaming\OpenCandy\4B344BA8449B4E308F5F1524CC09E8A5\SnapDo.exe
[2012/11/21 21:09:19 | 007,573,736 | ---- | M] () -- C:\Users\Christophe\AppData\Roaming\OpenCandy\4B344BA8449B4E308F5F1524CC09E8A5\SnapDo_ALL_p1v4.exe
:files
ipconfig /flushdns /c
:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
- Colle l'intégralité du script dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi27.servimg.com%2Fu%2Ff27%2F12%2F97%2F21%2F54%2Fotl_co10.jpg&hash=4c78298f5e7d37299e9302c79ed0c09e23bc039e) (http://www.servimg.com/image_preview.php?i=470&u=12972154)
- L'outil lance la suppression, ne pas l'interrompre
- Si l'outil te demande de redémarrer le PC, tu acceptes
- Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
----------------------------------------------------------------------------------------------
Sont attendus les rapports :
- AdwCleaner(S).txt
- C:\_OTL\MovedFiles\********_******.log
@+
-
http://security-x.fr/up/file.php?h=Rfffd9507f33c0b8b5367cf591e27969c
pour le premier
-
http://security-x.fr/up/file.php?h=R634b56c82737486428d31432b7eef3c3
et le second
-
Re,
As-tu toujours des soucis avec Snap.do ?
Nous allons vérifier que tes plugins/extensions à risque sont bien à jour.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) SX Check&Update :
- Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) de igor51 et enregistre-le sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Rapport
- Copie-colle le contenu de ce rapport dans ta prochaine réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)
@+
-
Plus de problemes avec snap do, mais je ne parvient pas a lancer le dernier logiciel que vous m'avez envoyer
-
Re,
OK pour Snap.do.
Pour l'outil SXCU, il faut patienter le temps que l'outil se connecte au serveur.
Tu veux bien retenter ?
-
SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows 7 64bits
Service Pack : 1
UserName : Christophe
04/12/2012
22:22:09
version = v0.3.0
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
---
Name : FlashPlayer ActiveX
Version : 11.4.402.287
Flash Player ActiveX n'est pas à jour! (11.5.502.110)
Name : FlashPlayer Plugin
Version : 11.4.402.287
Flash Player Plugin n'est pas à jour! (11.5.502.110)
Nom : Google Chrome
Version : 23.0.1271.95
Java Information :
Nom : Java 7 Update 9
Version : 7.0.90
Java 7 Update 9 est à jour
Nom : Adobe Reader X (10.1.3) MUI
Version : 10.1.3
Adobe Reader n'est pas à jour! (10.1.4)
Nom : Internet Explorer
Version : 9.0.8112.16421
-
Re,
Il faut tenir ces extensions à jour.
Ce sont des failles de sécurité très exploitées par les malwares.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) SX Check&Update :
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
- Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
- N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
Nous allons pouvoir ensuite finaliser la procédure.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Purge points de restauration :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous
:Commands
[CLEARALLRESTOREPOINTS]
[EMPTYTEMP]
- Colle l'intégralité du code dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
- Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstallation des outils utilisés :
Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur Purge d'outils
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pu10.jpg&hash=dc5fbf287c3bfd6a19d5f935367d8fcaa683bbaf) (http://www.servimg.com/image_preview.php?i=559&u=12972154)
- Valide l'avertissement par OK et laisse le pc redémarrer
- Relance AdwCleaner et clique sur Désinstaller
- Supprime SXCU de ton Bureau
- Supprime tous les rapports générés restants
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Quelques précisions et conseils :
- D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ? (http://forum.malekal.com/pourquoi-et-comment-je-me-fais-infecter-t3259.html)
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
/!\ Bien lire les accords de licence (http://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/msg53123/#msg53123) avant toute installlation, des études ont montré que La France est championne du monde de malwares ! (http://www.zebulon.fr/actualites/8054-france-championne-monde-malwares.html)
/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
/!\ Sauvegarder régulièrement les données personnelles sur un support externe
/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
- Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
- Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Vérifier aussi d'avoir toujours la dernière version de Java (http://java.com/fr/download/manual.jsp) et Flash Player (http://get.adobe.com/fr/flashplayer/)
Il faut l'installer Flash Player sous chaque navigateur présent sur le système
Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
Maintenir Java, Adobe Reader et le player Flash à jour (http://www.malekal.com/2010/11/15/maintenir-java-adobe-reader-et-le-player-flash-a-jour/)
Exploitation SWF/PDF et Java - système non à jour = danger (http://forum.malekal.com/exploitation-swf-pdf-java-systeme-non-jour-danger-t13629.html)
- Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation
Firefox sécurisé (http://forum.security-x.fr/tutoriels-317/firefox-securise/)
/!\ Une attitude responsable sur le net est la meilleure protection pour ton système
Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
N'hésite pas si tu as des questions.
Pour en savoir plus, clique sur l'image pour télécharger ce PDF (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)
-
Je vous remercie infiniement =)
-
Bonne continuation :AAC