Security-X
Forum Security-X => Désinfections => Discussion démarrée par: INALIA le octobre 09, 2012, 22:05:56
-
Bonsoir à tous,
Je me permets de poster un message car je suis l'une des nombreuses victimes de SNAP DO. J'ai téléchargé un logiciel de lecture vidéo FLV et depuis j'ai SNAP DO comme page internet. J'ai voulu supprimer le logiciel par le panneau de configuration mais ce dernier persiste.
J'ai donc testé plusieurs logiciels mais en vain :
- adwcleaner : la recherche est interrompu à chaque, il semblerait qu'unlogiciel bloque mais je ne sais pas lequel
- Spyhunter bloque également
- Spybot m'a supprimé quelques logiciels infectés mais pas Snap do
- Malwarebytes ne détecte rien.
A vrai dire, je ne sais plus quoi faire et cela dépasse largement mes compétences informatiques, c'est pour cela que je viens vous demander votre aide. J'espère que quelqu'un sera en mesure de m'aider.
Merci à tous :)
-
Bonsoir Inalia,
Bienvenue sur Security-X,
Nous allons regarder cela :
Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur") - Coche en haut la case devant "Tous les utilisateurs"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
activex
%systemroot%\assembly\GAC_32\*.ini
%systemroot%\assembly\GAC_64\*.ini
%systemdrive%\$Recycle.Bin|@;true;true;true
%systemroot%\Installer|@;true;true;true
C:\Windows\assembly\tmp\U\*.* /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Note : Les rapports sont aussi enregistrés sur le bureau
-
Merci à toi hyunkel30, merci bcp de m'aider.
Comme demandé voici les deux rapports,
Rapport OTL => http://security-x.fr/up/file.php?h=R131328a57ce8a422e694016e232d76f6
Rapport Extra => http://security-x.fr/up/file.php?h=Rd808f21c1c46d5a06b7c68c006d26715
-
Re,
On y va :
1) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=848a61a9-927e-4f8b-b817-34e25d11287a&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-437814940-1802456615-1844310628-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=848a61a9-927e-4f8b-b817-34e25d11287a&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-437814940-1802456615-1844310628-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=848a61a9-927e-4f8b-b817-34e25d11287a&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-437814940-1802456615-1844310628-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=848a61a9-927e-4f8b-b817-34e25d11287a&searchtype=hp&exp=true
IE - HKU\S-1-5-21-437814940-1802456615-1844310628-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = my.daemon-search.com
IE - HKU\S-1-5-21-437814940-1802456615-1844310628-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=848a61a9-927e-4f8b-b817-34e25d11287a&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-437814940-1802456615-1844310628-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=848a61a9-927e-4f8b-b817-34e25d11287a&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-437814940-1802456615-1844310628-1000\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKU\S-1-5-21-437814940-1802456615-1844310628-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=848a61a9-927e-4f8b-b817-34e25d11287a&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-437814940-1802456615-1844310628-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-437814940-1802456615-1844310628-1000\..\SearchScopes\{D5A3CF3B-F869-4A3C-9F84-916686732693}: "URL" = http://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms}
CHR - default_search_provider: search_url = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=848a61a9-927e-4f8b-b817-34e25d11287a&searchtype=ds&q={searchTerms}
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKU\S-1-5-21-437814940-1802456615-1844310628-1000\..\Toolbar\WebBrowser: (no name) - {4DAAC69C-CBA7-45E2-9BC8-1044483D3352} - No CLSID value found.
[2012/10/08 22:05:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2012/10/08 22:05:28 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy
[2012/10/08 15:09:56 | 000,000,000 | ---D | C] -- C:\Users\AlexVTK\AppData\Roaming\OpenCandy
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
2) Page d'accueil Chrome :
Il te faudra modifier manuellement la page d'accueil de Chrome ensuite :
http://support.google.com/chrome/bin/answer.py?hl=fr&answer=95314
:AAN
-
Ok je fais ça tout de suite.
-
Voici le rapport demandé : http://security-x.fr/up/file.php?h=Rae8f156a1499903ca5aa1699f89ff217
J'ai toujours Snap do en page d'accueil web.
-
Re,
En page d'accueil de quel navigateur ?
Tu as remis celle de chrome manuellement ?
-
Oui manuellement, mais j'ai peut être mal fait. En fait quand je tape dans la page (ou figure l'adresse web), c'est ps google qui cherche c'est snap do. ( tu veux que je teste un autre navigateur genre IE ou Mozilla?)
Mon navigateur est Chrome.
-
Re,
Oui alors c'est à cause de cela :
Use Chrome's Settings page to remove the default_search_provider items.
Donc à faire manuellement aussi :
http://support.google.com/chrome/bin/answer.py?hl=fr&answer=95653
Tu supprimer snapdo des moteurs de recherche et remet google. ;)
-
:BAN
MERCIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII HUYNKEL30, je vais te vouer un culte, quel plaisir de retrouver GOOGLEEEEEEEEEEEEEE !!!
MERCIIIIIIIIIIIIIIIIIIIIII BEAUCOUPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPPP
C'EST GENIALLLLLLLLLLLLLLLLLLLLLLLLLLLL!!!!!!!!!!!!!!!!!!!!!
Donc je suppose que c'est bon, je n'ai plus la bête en moi?? lol
-
Re,
C'est ok oui, pour conclure :
Relance OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
Mise à jour du système et des logiciels :
Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, principalement le Service Pack 1. Si rien ne se passe, fais manuellement les mise à jour ici : Démarrer -> Tous les programmes -> Windows Update
- Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 31
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/id-2134891/prevention-protection.html)
Ici aussi ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
Ok ca marche, je fais ca tout de suite.
-
Par contre, puis-je te demander un conseil : quel antivirus (gratuit) me conseillerais-tu? Ou peut-être que tu pourrais me redigirer vers un antivirus abordable?
-
Re,
Tu as à la fois Antivir et Comodo, cela ne te suffit pas ?
Dans tout les cas, aucun ne pourra rien faire face au sponsors publicitaires, ça c'est à toi de faire attention ;)
Concernant Comodo, tu as bien désactivé son module antivirus si tu utilises déjà Antivir ?
-
Ah ben parfait, si tu me dis que c'est suffisant c'est nickel. Je voulais l'avis d'un expert.
Alors concernant Antivir, j'ai juste le webguard qui n'est pas activé sinon tout le reste est actif.
Par contre pour Comodo, gros quidd. Pour l'instant je n'ai pas trouvé la fenêtre en rapport avec l'état actif ou non de l'antivirus Comodo.
-
Re,
Bon ben encore plus simple alors, tu désinstalles Comodo ... sous Widnows 7, pas besoin d'un parefeu supplémentaire, celui de windows suffit ... ça fera une chose en moins qui tourne sur le pc.
Tu as bien installé le service pack 1 dans les mises à jour Windows ?
-
Ok ca marche. J'ai enlevé COMODO, et te confirme l'installation des MAJ de Windows SP1.
En tout cas je te remercie pour toute l'aide apportée, je suis super contente !!! Merci infiniment HUYNKEL30.
-
Il n'y a pas de quoi ;)
Bonne soirée.
:AAN
-
Bonne soirée à toi aussi ;D
-
Bonjour, même problème :AAM
Voici mon rapport OTL : http://security-x.fr/up/file.php?h=Rfde4912971736f5f4f6e464958c9bd05
Et le rapport Extra : http://security-x.fr/up/file.php?h=R592865385ea5ae0dd380f5ac4aef01ff
Serait il possible que l'on m'indique le code à insérer dans Personnalisation ?
Merci !
-
Bonjour,
Vous souhaitez une prise ne charge ?
Merci de créer votre propre sujet.
Chaque pc et infection est unique.
-
Toutafé. Je pensais que ça ne servait à rien de re-créer un sujet. Je fais de suite !
-
Bonjour, je suis également "contaminé" par snapdo !
ci joint les liens avec les fichiers txt générés par OTL.
http://security-x.fr/up/file.php?h=R14724cd447b7e723bc8f6f32465ea780
http://security-x.fr/up/file.php?h=R14724cd447b7e723bc8f6f32465ea780
Si quelqu'un peut m'aider !!
Merci
-
Moi j’ai fait simple. Sur chrome où snap.do s’était installé en page d’accueil, j’ai recréé mes anciennes pages avec onglet que j’utilisaient, j’ai supprimé l’onglet snap .do et dans les paramètres chrome j’ai demandé une ouverture avec las pages actuelles. Je suis redevenu comme avant !!!