Security-X
Forum Security-X => Désinfections => Discussion démarrée par: chali00 le octobre 30, 2012, 11:50:33
-
Bonjour je suis nouveau sur le forum, j'ai été infecter par SNAP DO sur les navigateur internet a la suite d'un téléchargement de logiciel.
Après avoir vu d'autre poste j ai fait l'analyse avec OLT voici les rapport:
OLT: http://security-x.fr/up/file.php?h=R5d2e5791049d6beb8596c5b9d78df8fe (http://security-x.fr/up/file.php?h=R5d2e5791049d6beb8596c5b9d78df8fe)
EXTRAS:http://security-x.fr/up/file.php?h=Ra2e1ffca11444836fea830754079316b (http://security-x.fr/up/file.php?h=Ra2e1ffca11444836fea830754079316b)
merci
-
Bonjour chali00,
Bienvenu sur Security-X,
Il faudra être plus prudent à l'avenir, car c'est à toi d'être vigilant vis à vis de ces adwares, à lire :
http://forum.security-x.fr/securite-generale/telechargement-depuis-01-net-attention-a-giant-saving-et-boxore/
http://forum.security-x.fr/securite-generale/stop-la-pub/
Allons-y pour le ménage :
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- SpyHunter (éditeur peu scrupuleux, outil peu efficace)
- Software Update Helper (lié à un adware)
2) Télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur) - Dans la fenêtre principal, choisis l'option Suppression.
- A la fin, un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
3) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
SRV - [2012/10/10 16:23:46 | 001,021,888 | ---- | M] (Enigma Software Group USA, LLC.) [Auto | Running] -- C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE -- (SpyHunter 4 Service)
SRV - [2012/10/03 19:22:56 | 000,139,576 | ---- | M] (Boxore OU.) [Auto | Stopped] -- C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe -- (supdate)
DRV:64bit: - [2012/06/22 12:01:30 | 000,022,704 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\EsgScanner.sys -- (EsgScanner)
IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=e753f5b9-0047-479a-bf28-971b7f0bebda&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=e753f5b9-0047-479a-bf28-971b7f0bebda&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=e753f5b9-0047-479a-bf28-971b7f0bebda&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=e753f5b9-0047-479a-bf28-971b7f0bebda&searchtype=ds&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=e753f5b9-0047-479a-bf28-971b7f0bebda&searchtype=ds&q={searchTerms}
IE - HKCU\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=e753f5b9-0047-479a-bf28-971b7f0bebda&searchtype=ds&q={searchTerms}
FF - prefs.js..extensions.enabledAddons: {1392b8d2-5c05-419f-a8f6-b9f15a596612}:3.15.1.0
FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=2&q="
FF - HKLM\Software\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8: C:\Program Files (x86)\Software\Update\1.2.201.0\npSoftwareOneClick8.dll (Boxore OU.)
2012/08/22 10:29:50 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Users\charles\AppData\Roaming\mozilla\Firefox\Profiles\1hmpu86g.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612}
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Reg Error: Value error.) - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - Reg Error: Value error. File not found
[2012/10/30 00:39:43 | 000,000,000 | ---D | C] -- C:\Users\charles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
[2012/10/30 00:39:41 | 000,000,000 | ---D | C] -- C:\sh4ldr
[2012/10/30 00:39:41 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2012/10/29 13:50:44 | 000,000,000 | ---D | C] -- C:\Users\charles\AppData\Roaming\OpenCandy
[2012/10/03 19:17:34 | 000,000,000 | ---D | C] -- C:\Users\charles\AppData\Local\Software
[2012/10/03 19:17:34 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Software
[6 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[3 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2012/10/30 01:10:02 | 000,000,710 | ---- | M] () -- C:\Windows\tasks\OpenCandyHelper.job
[2012/10/30 01:10:00 | 000,000,710 | ---- | M] () -- C:\Windows\tasks\OpenCandyHelperRun.job
[2012/10/30 00:40:27 | 000,000,000 | ---- | M] () -- C:\autoexec.bat
[2012/10/30 00:39:44 | 000,002,264 | ---- | M] () -- C:\Users\charles\Desktop\SpyHunter.lnk
[2012/10/30 00:28:00 | 000,001,088 | ---- | M] () -- C:\Windows\tasks\SoftwareUpdateTaskMachineUA.job
[2012/10/29 20:28:00 | 000,001,084 | ---- | M] () -- C:\Windows\tasks\SoftwareUpdateTaskMachineCore.job
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:587EB586
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Application Data\Temp:587EB586
@Alternate Data Stream - 1002 bytes -> C:\Users\charles\Cookies:E4yKK9z7zXeMN3HtBa5kQ2F0ul
:Files
C:\Program Files (x86)\Software
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
-
merci pour votre aide:
olt:http://security-x.fr/up/file.php?h=Rfdac0eed8890b4f0a051e1ad504f3d69 (http://security-x.fr/up/file.php?h=Rfdac0eed8890b4f0a051e1ad504f3d69)
AdwCleanerhttp://security-x.fr/up/file.php?h=R3997de1fccb64f4dfe005bcd1358ebf9 (http://security-x.fr/up/file.php?h=R3997de1fccb64f4dfe005bcd1358ebf9)
-
Re,
OK.
As-tu encore des problèmes de pubs et pages détournées par snap.do ?
-
non, je n'est plus de pb de pub.
merci pour vautre aide
-
Re,
Pour conclure alors :
1) Désinstalle AdwCleaner :
- Relance-le le programme adwcleaner.exe situé sur ton Bureau.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"
- Supprime ensuite le fichier adwcleaner.exe sur ton bureau.
2) Relance OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
3) Mise à jour des logiciels :
Met à jour les programmes suivants :
- Java vers la version 7 update 9 (http://www.java.com/fr/download/) (pense à supprimer les anciennes version dans ajout/suppression des programmes : Java(TM) 6 Update 29 )
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/id-2134891/prevention-protection.html)
Ici aussi ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN