> Tous les forums > Forum Sécurité
 Infection où pas ?Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
lentjus
  Posté le 13/05/2013 @ 11:33 
Aller en bas de la page 
Astucien

Bonjour à tous,

Hier après l'installation d'un logiciel, j'ai passé AdwCleaner, et je me suis retrouvé avec pas mal d'erreurs, dont voici le rapport après nettoyage.

# AdwCleaner v2.300 - Rapport créé le 12/05/2013 à 15:22:58
# Mis à jour le 28/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : ROUCOU - JEAN-LUC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Temp\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\InstallMate
Dossier Supprimé : C:\Documents and Settings\ROUCOU\Application Data\pdfforge
Fichier Supprimé : C:\Documents and Settings\ROUCOU\Application Data\Mozilla\Firefox\Profiles\66cuf3ug.default\searchplugins\WebSearch.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\SProtector
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Supprimée : HKLM\Software\SP Global
Clé Supprimée : HKLM\Software\SProtector

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hid=3722414364&lg=EN&cc=FR&unqvl=14 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hid=3722414364&lg=EN&cc=FR&unqvl=14 --> hxxp://www.google.com

-\\ Mozilla Firefox v20.0.1 (fr)

Fichier : C:\Documents and Settings\ROUCOU\Application Data\Mozilla\Firefox\Profiles\66cuf3ug.default\prefs.js

Supprimée : user_pref("aol_toolbar.default.homepage.check", false);
Supprimée : user_pref("aol_toolbar.default.search.check", false);
Supprimée : user_pref("browser.search.defaultenginename", "WebSearch");
Supprimée : user_pref("browser.search.defaultenginename,S", "WebSearch");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hi[...]
Supprimée : user_pref("browser.search.order.1", "WebSearch");
Supprimée : user_pref("browser.search.order.1,S", "WebSearch");
Supprimée : user_pref("browser.search.selectedEngine", "WebSearch");
Supprimée : user_pref("browser.search.selectedEngine,S", "WebSearch");
Supprimée : user_pref("browser.startup.homepage", "hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hid[...]
Supprimée : user_pref("extensions.518f9f307276a.scode", "(function(){try{if('aol.com,mail.google.com,premiumrepo[...]
Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 0);
Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Supprimée : user_pref("keyword.URL", "hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hid=3722414364&l[...]
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
Supprimée : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
Supprimée : user_pref("sweetim.toolbar.previous.keyword.URL", "");
Supprimée : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_DS", "");
Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_HP", "");
Supprimée : user_pref("sweetim.toolbar.searchguard.enable", "");

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\ROUCOU\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

Supprimée [l.167] : homepage = "hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hid=3722414364&lg=EN&cc=FR&u[...]

-\\ Opera v12.15.1748.0

Fichier : C:\Documents and Settings\ROUCOU\Application Data\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R7].txt - [1154 octets] - [07/05/2013 12:07:44]
AdwCleaner[R8].txt - [1214 octets] - [09/05/2013 17:15:15]
AdwCleaner[R9].txt - [4367 octets] - [12/05/2013 15:22:33]
AdwCleaner[S1].txt - [4246 octets] - [12/05/2013 15:22:58]

########## EOF - C:\AdwCleaner[S1].txt - [4306 octets] ##########

J'ai ensuite passé Malwarebytes, mais le rapport était vierge de toute infection.

Publicité
lentjus
 Posté le 13/05/2013 à 11:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : ZHPDiag.txt

Evasion60
 Posté le 13/05/2013 à 15:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Groupe Sécurité

Bonjour

Je regarde ton log

@

Evasion60
 Posté le 13/05/2013 à 15:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Groupe Sécurité

Re

Applique ce correctif =>

Lance ZHPFix par l'icône sur le bureau, par un double clic

image

* Dans la fenêtre qui s'ouvre, valide par " OK "
Elle a été créée lors de l'installation de ZHPDiag


A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code

O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Go for FilesUpdate.job [282] => Peer2Peer.GoforFiles
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\GoforFilesUpdate.job [282] => Peer2Peer.GoforFiles
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\YourFile DownloaderUpdate.job [324] => YourFile Downloader Update Task
[HKCU\Software\wscontb] => Toolbar.Agent
[HKLM\Software\IncrediBackup] => IncrediMail Ltd.
O43 - CFD: 29/07/2012 - 20:29:37 - [163,402] ----D C:\Documents and Settings\ROUCOU\Local Settings\Application Data\IM => Messaging.IncrediMail
O61 - LFC: 12/05/2013 - 14:16:30 ---A- C:\Documents and Settings\ROUCOU\Local Settings\Application Data\Microsoft\Internet Explorer\Services\search_{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}.ico [5430] => Infection PUP (PUP.Mocaflix)
O64 - Services: CurCS - 30/08/2011 - C:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE
[HKCU\Software\wscontb] => Toolbar.Agent
EmptyCLSID
Emptytemp
EmptyFlash


Clique sur le bouton Presse-papier encadré en rouge sur l'image.


Les lignes contenues dans le presse-papier vont s'afficher.

Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :

Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

image
Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.



image

lentjus
 Posté le 13/05/2013 à 15:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour, et merci de regarder mon log.

Rapport de ZHPFix 2013.5.11.1 par Nicolas Coolman, Update du 11/05/2013
Fichier d'export Registre :
Run by ROUCOU at 13/05/2013 15:50:02
High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\wscontb
SUPPRIME Key: HKLM\Software\IncrediBackup
ERREUR Key: Service Legacy: LEGACY_BONJOUR_SERVICE

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier(s) ==========
SUPPRIME File: c:\windows\tasks\go for filesupdate.job
SUPPRIME File: c:\windows\tasks\goforfilesupdate.job
SUPPRIME File: c:\windows\tasks\yourfile downloaderupdate.job
SUPPRIME File: c:\documents and settings\roucou\local settings\application data\microsoft\internet explorer\services\search_{bb74de59-bc4c-4172-9ac4-73315f71cffe}.ico
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies


========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Dossier(s)
6 : Fichier(s)


End of clean in 01mn 35s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 13/05/2013 15:50:02 [1168]

Evasion60
 Posté le 13/05/2013 à 15:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Groupe Sécurité

Re

Il n'y avait pas grand chose
C'est OK, pour moi !

Tu peux mettre en "Résolu"
Bonne continuation

Publicité
lentjus
 Posté le 13/05/2013 à 15:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Merci beaucoup Evasion 60

Evasion60
 Posté le 13/05/2013 à 16:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Groupe Sécurité

lentjus a écrit :

Merci beaucoup Evasion 60

Re

Désinstalle AdwCleaner et ZHPDiag, via le panneau de configuration

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !

 > Tous les forums > Forum Sécurité