Security-X
Forum Security-X => Désinfections => Discussion démarrée par: mondoville le avril 05, 2016, 11:26:03
-
Bonjour à tous, voilà moi aussi j'ai ce >:D :oo de scrip host. Au demarrage, après écran Win, pouf, plus rien, écran noir. Et en bas minuscule fenêtre "paramètres". Grâce à un helper, je répare en faisant : gestionnaire de tâches, fichier : explorer.ex. Tout essayé pour nettoyer rien à faire :oo. Donc j'ai fait la manip préconisé de FRST et envoyé les rapports. Voici les liens : https://up.security-x.fr/file.php?h=R4048257d6b44bbc5ed43541baa6b415f
https://up.security-x.fr/file.php?h=R28fd91e9dd44972ad995b6aa9564c16f
MERCII ! ;)
-
Bonjour,
Bienvenue sur Security-X,
Grâce à un helper, je répare en faisant : gestionnaire de tâches, fichier : explorer.ex
Tu es actuellement pris en charge sur un autre forum ?
-
Non, juste trouvé cette réponse en cherchant sur G....
-
Re,
Ok, je préfère savoir avant, histoire d'éviter des procédures croisées, dangereuses pour le système.
Tu es effectivement infecté, on va nettoyer :
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- Java(TM) 7 Update 5 (64-bit) (version obsolète et vulnérable, tu possèdes une version plus récente)
- Wise Registry Cleaner 8.81 (pas ou peu utile, comme tous les optimiseurs)
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
CreateRestorePoint:
CloseProcesses:
Task: {0404E46F-7576-4CD6-9E71-4C476E66D16D} - System32\Tasks\Eaabigdi => C:\PROGRA~1\GUGSEU~1\Ajevs.bat
C:\PROGRA~1\GUGSEU~1\Ajevs.bat
Task: {0BD3E1C9-2734-4E00-AFD2-9C15B66736C3} - System32\Tasks\Livfots => C:\PROGRA~1\KHREIN~1\Akurruf.bat
C:\PROGRA~1\KHREIN~1\Akurruf.bat
Task: {155FE4C2-DE0C-4617-B61E-4CF2F8AAAFC1} - System32\Tasks\{68B51939-AFD7-4F75-81E3-A47CC316E169} => pcalua.exe -a "C:\Users\domdom\AppData\Roaming\1H1Q\File Opener Packages\uninstaller.exe" -c /Uninstall /NM="File Opener Packages" /AN="1H1Q" /MBN="File Opener Packages"
Task: {2CB7742F-8ADC-4735-A882-700BD9AEFA7E} - System32\Tasks\Mammep => C:\PROGRA~1\BELCUO~1\Ihoucbu.bat
C:\PROGRA~1\BELCUO~1\Ihoucbu.bat
Task: {380BF3FD-6F37-4140-A03B-378674B64B50} - System32\Tasks\{03EBE300-F7F2-4C58-9A86-B37DEFA820A3} => pcalua.exe -a C:\ProgramData\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\uninstall.exe -c /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /su=6b3534be8d876d20 /um
C:\ProgramData\BrowserDefender
Task: {82A297F7-8235-4444-9243-3B2B952A0F4D} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2016-04-03] () <==== ATTENTION
Task: {866CF648-58FE-4A13-B1A3-6294516009F1} - System32\Tasks\{2DE05D27-1669-4D68-8C79-B7C810245027} => pcalua.exe -a C:\Users\domdom\AppData\Local\WebPlayer\uninstall.exe -c _?=C:\Users\domdom\AppData\Local\WebPlayer\FLV Player
C:\ProgramData\smp2.exe
C:\Users\domdom\AppData\Local\WebPlayer
Task: {915FD0BE-223E-483A-857C-A2995A69F1E4} - System32\Tasks\{557EBC47-801E-4FF3-BB4A-699A25B872DB} => pcalua.exe -a "C:\Users\domdom\AppData\Roaming\Store\WindApp\WindApp Uninstall.exe"
C:\Users\domdom\AppData\Roaming\Store
Task: {A1C8CFDE-4297-4A6F-A09D-24D728DC7E3E} - System32\Tasks\kze3024 => C:\Program Files (x86)\QuickSearch\kze3024.exe <==== ATTENTION
C:\Program Files (x86)\QuickSearch
Task: {AC3F925B-F9B7-404A-95D1-2190B65908DF} - \{7A7D0A47-0C05-0D0E-0A11-090F0A0A110D} -> Pas de fichier <==== ATTENTION
Task: {AF4A9DEB-A678-4622-BA18-C64FCFAD73D3} - System32\Tasks\{7CE3F889-2300-4D90-974F-67054AF7DFFA} => pcalua.exe -a C:\Users\domdom\Desktop\setup.exe -d C:\Users\domdom\Desktop
Task: {ECCA69F2-A907-49F5-A0C7-6DAB125635DF} - System32\Tasks\{400A917D-0C54-4159-839F-23AC72CA65E7} => pcalua.exe -a "C:\Users\domdom\AppData\Roaming\Nosibay\Bubble Dock\Uninstall Bubble Dock.exe"
C:\Users\domdom\AppData\Roaming\Nosibay\Bubble Dock
ShortcutWithArgument: C:\Users\domdom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g43zftpbl0cshmobh,295ec7b4-c0c8-4ff1-aff4-062ca24f633f,
ShortcutWithArgument: C:\Users\domdom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g43zftpbl0cshmobh,295ec7b4-c0c8-4ff1-aff4-062ca24f633f,
ShortcutWithArgument: C:\Users\domdom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g43zftpbl0cshmobh,295ec7b4-c0c8-4ff1-aff4-062ca24f633f,
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zdwfp => ""="Driver"
HKLM\...\Run: [WINCOMKCD] => "C:\Program Files (x86)\sunnyday\wincom_KCD.exe"
HKLM\...\Run: [IDSCCOMGLN] => "C:\Program Files\SpaceSoundPro\idsccom_GLN.exe"
HKLM\...\Run: [WINCOM8FV] => "C:\Program Files (x86)\sunnyday\wincom_8FV.exe"
HKLM\...\Run: [IDSCCOMV7X] => "C:\Program Files (x86)\Max Driver Updater\idsccom_V7X.exe"
HKLM\...\Winlogon: [Userinit] wscript,
Startup: C:\Users\domdom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2016-04-04] ()
Startup: C:\Users\domdom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Serviio.lnk [2016-04-04]
BHO-x32: Pas de nom -> {451C804F-C205-4F03-B48E-537EC94937BF} -> Pas de fichier
Toolbar: HKU\S-1-5-21-3650440428-3117339421-1320811852-1001 -> Pas de nom - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Pas de fichier
Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Pas de fichier
FF Extension: Web Amplified 1.0.1 - C:\Users\domdom\AppData\Roaming\Mozilla\Firefox\Profiles\vpe8j6ps.default\Extensions\{b50d0351-887b-4ba2-b70c-fa22f9790730}.xpi [2015-10-03] [non signé]
FF Extension: Web Amplified 1.0.1 - C:\Users\domdom\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\{b50d0351-887b-4ba2-b70c-fa22f9790730}.xpi [2015-10-03] [non signé]
CHR Extension: (Rapport) - C:\Users\domdom\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbjllphbppobebmjpjcijfbakobcheof [2016-02-10]
CHR HKU\S-1-5-21-3650440428-3117339421-1320811852-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bbjllphbppobebmjpjcijfbakobcheof] - hxxps://clients2.google.com/service/update2/crx
S2 Jeoiy; "C:\Users\domdom\AppData\Roaming\JhroGuahch\Queejvhd.exe" -cms [X]
C:\Users\domdom\AppData\Roaming\JhroGuahch
2016-04-03 21:40 - 2016-04-03 21:40 - 00000000 ____D C:\WINDOWS\system32\pum
2016-04-03 19:29 - 2016-04-03 19:29 - 00000000 ____D C:\WINDOWS\system32\goes
2016-04-03 19:08 - 2016-04-03 19:08 - 00000000 ____D C:\WINDOWS\system32\cyo
2016-04-03 18:13 - 2016-04-03 21:41 - 00000000 ____D C:\Users\domdom\AppData\Roaming\UgubabLufupe
2016-04-03 18:13 - 2016-04-03 21:41 - 00000000 ____D C:\Users\domdom\AppData\Roaming\Ajuslacwua
2016-03-31 19:42 - 2016-03-31 19:42 - 00004128 _____ C:\ProgramData\bqeojehc.wbx
2016-03-28 19:57 - 2016-03-28 22:18 - 00000000 ____D C:\Users\domdom\AppData\Roaming\Epemnuxuk
2016-03-28 19:53 - 2016-03-28 19:53 - 00003412 _____ C:\WINDOWS\System32\Tasks\Eaabigdi
2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 ____C () C:\Users\domdom\AppData\Roaming\4UsBc3AdCIt
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 ____C () C:\Users\domdom\AppData\Roaming\4UsBc3AdCItD
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 ____C () C:\Users\domdom\AppData\Roaming\AuDcrVUqJi
2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 ____C () C:\Users\domdom\AppData\Roaming\JTZvRV5DEE
2015-07-30 16:28 - 2015-07-30 16:28 - 0004105 ____C () C:\ProgramData\wmzddnmb.cix
EmptyTemp:
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- Le pc va demander à redémarrer, accepte.
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
~~~~~~~~~~~~~~~~~~~~~~
Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Scanner.
- Attend la fin de la recherche puis clique sur l'option Rapport.
- Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
- Ferme le programme, valide l'avertissement au besoin.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Je pense que tout a parfaitement marché. Voici le lien du rapport Adw https://up.security-x.fr/file.php?h=Rb100632ce5f259565aaaee51df4d3981
Merci beaucoup, beaucoup, beaucoup Hyunkel30 :BAN Comment on peut vous aider ? Un don c'est ça ? Si y a autre chose, tu dis !
-
Re,
Alors c'est le rapport Fixlog.txt que j'aurais voulu avoir ;)
Quand à Adwcleaner tu ne devais faire qu'une recherche, pour éviter les faux-positif ...
Mais bon, tu sembles un peu trop familier avec cet outil ...
Faudra vraiment, vraiment être plus vigilant, une prochaine fois, ce pourrait être bien plus dangereux (ransomware, etc ...)
-
Juste pour le fun voilà le lien fixlog (pas compris, sorry) https://up.security-x.fr/file.php?h=Re09f2b081a9105d017f012a89cca53a4
C'est promis je vais faire hyper gaffe ça m'a servi de leçon !! Tu ne me réponds pas sur comment je peux vous remercier ??? ::)
-
Re,
C'est promis je vais faire hyper gaffe ça m'a servi de leçon !! Tu ne me réponds pas sur comment je peux vous remercier ??? ::)
En ne revenant pas nous voir pour un telle infection, et en faisant passer le mot de la vigilance autour de toi ;)
Sinon oui, il est possible de faire un don, mais ce n'est absolument pas une obligation.
Télécharge DelFix (https://toolslib.net/downloads/finish/2/) (de Xplode) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Ne touche pas aux options cochées
- Coche en plus "Purger la restauration système"
- Clique sur le bouton "Exécuter"
- Laisse travailler l'outil.
- Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.
Prévention :
Ton PC a été infecté par des adwares, à savoir des logiciels potentiellement indésirables qui se mettent en place lors des installations de logiciels.
Il faut donc que les utilisateurs de ce PC veillent à ne pas donner leur accord pour que ceux-ci s'installent lors des installations de logiciels (en décochant par exemple les cases précochées qui autorisent l'installation d'un moteur de recherche).
Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter/) en utilisant cet outil :
Télécharge Adware Prevention (http://security-x.fr/~guigui0001/Adware_Prevention.exe) (de guigui0001) sur ton bureau.
Sous IE9, IE10, IE11 et Windows 8 le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Lance-le en double-cliquant sur Adware_Prevention.exe
- Cet outil va simuler une installation sponsorisée par des adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
- A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
Tutoriel en images (http://forum.security-x.fr/tutoriels-317/s%27entrainer-a-ne-pas-installer-des-logiciels-indesirables-avec-adware-prevention/)
- Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !
Note : cet outil pédagogique tant à évoluer en permanence, n'hésite pas à remonter les problèmes rencontrés ou les suggestions pour son amélioration
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/) et à lire (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : Ghostery (https://chrome.google.com/webstore/detail/ghostery/mlomiejdfkolichcflejclcbmpeaniij?hl=fr) ou Scriptsafe (https://chrome.google.com/webstore/detail/scriptsafe/oiigbmnaadbkfbmpbfijlflahbdbdgdf) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux utiliser un outil comme SXCU (http://forum.security-x.fr/tutoriels-317/(tutoriel)-sx-checkupdate/) pour vérifier occasionnellement les mises à jour disponibles pour les principaux logiciels/plugins.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.tomsguide.fr/forum/id-2134891/prevention-protection-securiser-ordinateur.html)
Ici aussi ! (http://www.tomsguide.fr/forum/id-416930/dossier-prevention-protection.html)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
Voilà pour ta dernière demande :
# DelFix v1.012 - Rapport créé le 06/04/2016 à 09:05:10
# Mis à jour le 04/03/2015 par Xplode
# Nom d'utilisateur : domdom - BESTFRIEND
# Système d'exploitation : Windows 10 Home (64 bits)
~ Suppression des outils de désinfection ...
Supprimé : C:\FRST
Supprimé : C:\AdwCleaner
Supprimé : C:\RstHosts.txt
Supprimée : HKLM\SOFTWARE\AdwCleaner
~ Purge de la restauration système ...
Supprimé : RP #49 [Opération de restauration | 04/04/2016 06:57:29]
Supprimé : RP #50 [JRT Pre-Junkware Removal | 04/04/2016 07:57:11]
Supprimé : RP #51 [Removed Java(TM) 7 Update 5 (64-bit) | 04/05/2016 18:05:50]
Nouveau point de restauration créé !
########## - EOF - ##########
Maintenant je cesse de truster ton attention et j'ai tout bien enregistré pour les mises en garde. Je fais un don illico, ça mérite. ;D