> Tous les forumsSécurité

 Infection où pas ?Sujet résolu
Statut du sujet : RESOLU (13/05/2013 à 15:56) Imprimer
 lentjus
  Posté le 13/05/2013 @ 11:33  
 Astucien


3251 Messages

Bonjour à tous,

Hier après l'installation d'un logiciel, j'ai passé AdwCleaner, et je me suis retrouvé avec pas mal d'erreurs, dont voici le rapport après nettoyage.

# AdwCleaner v2.300 - Rapport créé le 12/05/2013 à 15:22:58
# Mis à jour le 28/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : ROUCOU - JEAN-LUC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Temp\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\InstallMate
Dossier Supprimé : C:\Documents and Settings\ROUCOU\Application Data\pdfforge
Fichier Supprimé : C:\Documents and Settings\ROUCOU\Application Data\Mozilla\Firefox\Profiles\66cuf3ug.default\searchplugins\WebSearch.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\SProtector
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Supprimée : HKLM\Software\SP Global
Clé Supprimée : HKLM\Software\SProtector

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hid=3722414364&lg=EN&cc=FR&unqvl=14 --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hid=3722414364&lg=EN&cc=FR&unqvl=14 --> hxxp://www.google.com

-\\ Mozilla Firefox v20.0.1 (fr)

Fichier : C:\Documents and Settings\ROUCOU\Application Data\Mozilla\Firefox\Profiles\66cuf3ug.default\prefs.js

Supprimée : user_pref("aol_toolbar.default.homepage.check", false);
Supprimée : user_pref("aol_toolbar.default.search.check", false);
Supprimée : user_pref("browser.search.defaultenginename", "WebSearch");
Supprimée : user_pref("browser.search.defaultenginename,S", "WebSearch");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hi[...]
Supprimée : user_pref("browser.search.order.1", "WebSearch");
Supprimée : user_pref("browser.search.order.1,S", "WebSearch");
Supprimée : user_pref("browser.search.selectedEngine", "WebSearch");
Supprimée : user_pref("browser.search.selectedEngine,S", "WebSearch");
Supprimée : user_pref("browser.startup.homepage", "hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hid[...]
Supprimée : user_pref("extensions.518f9f307276a.scode", "(function(){try{if('aol.com,mail.google.com,premiumrepo[...]
Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 0);
Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Supprimée : user_pref("keyword.URL", "hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hid=3722414364&l[...]
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
Supprimée : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
Supprimée : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
Supprimée : user_pref("sweetim.toolbar.previous.keyword.URL", "");
Supprimée : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_DS", "");
Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_HP", "");
Supprimée : user_pref("sweetim.toolbar.searchguard.enable", "");

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\ROUCOU\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

Supprimée [l.167] : homepage = "hxxp://websearch.lookforithere.info/?pid=971&r=2013/05/12&hid=3722414364&lg=EN&cc=FR&u[...]

-\\ Opera v12.15.1748.0

Fichier : C:\Documents and Settings\ROUCOU\Application Data\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R7].txt - [1154 octets] - [07/05/2013 12:07:44]
AdwCleaner[R8].txt - [1214 octets] - [09/05/2013 17:15:15]
AdwCleaner[R9].txt - [4367 octets] - [12/05/2013 15:22:33]
AdwCleaner[S1].txt - [4246 octets] - [12/05/2013 15:22:58]

########## EOF - C:\AdwCleaner[S1].txt - [4306 octets] ##########

J'ai ensuite passé Malwarebytes, mais le rapport était vierge de toute infection.

 
 Aller en bas de la page  
 
Publicité
 lentjus  Posté le 13/05/2013 à 11:37  
Astucien


3251 Messages

Fichier joint : ZHPDiag.txt

 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 Evasion60  Posté le 13/05/2013 à 15:25  
  Groupe Sécurité


29151 Messages

Bonjour

Je regarde ton log

@

 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 Evasion60  Posté le 13/05/2013 à 15:40  
  Groupe Sécurité


29151 Messages

Re

Applique ce correctif =>

Lance ZHPFix par l'icône sur le bureau, par un double clic

image

* Dans la fenêtre qui s'ouvre, valide par " OK "
Elle a été créée lors de l'installation de ZHPDiag


A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code

O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Go for FilesUpdate.job [282] => Peer2Peer.GoforFiles
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\GoforFilesUpdate.job [282] => Peer2Peer.GoforFiles
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\YourFile DownloaderUpdate.job [324] => YourFile Downloader Update Task
[HKCU\Software\wscontb] => Toolbar.Agent
[HKLM\Software\IncrediBackup] => IncrediMail Ltd.
O43 - CFD: 29/07/2012 - 20:29:37 - [163,402] ----D C:\Documents and Settings\ROUCOU\Local Settings\Application Data\IM => Messaging.IncrediMail
O61 - LFC: 12/05/2013 - 14:16:30 ---A- C:\Documents and Settings\ROUCOU\Local Settings\Application Data\Microsoft\Internet Explorer\Services\search_{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}.ico [5430] => Infection PUP (PUP.Mocaflix)
O64 - Services: CurCS - 30/08/2011 - C:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE
[HKCU\Software\wscontb] => Toolbar.Agent
EmptyCLSID
Emptytemp
EmptyFlash


Clique sur le bouton Presse-papier encadré en rouge sur l'image.


Les lignes contenues dans le presse-papier vont s'afficher.

Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :

Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

image
Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.



image

 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 lentjus  Posté le 13/05/2013 à 15:51  
Astucien


3251 Messages

Bonjour, et merci de regarder mon log.

Rapport de ZHPFix 2013.5.11.1 par Nicolas Coolman, Update du 11/05/2013
Fichier d'export Registre :
Run by ROUCOU at 13/05/2013 15:50:02
High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\wscontb
SUPPRIME Key: HKLM\Software\IncrediBackup
ERREUR Key: Service Legacy: LEGACY_BONJOUR_SERVICE

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier(s) ==========
SUPPRIME File: c:\windows\tasks\go for filesupdate.job
SUPPRIME File: c:\windows\tasks\goforfilesupdate.job
SUPPRIME File: c:\windows\tasks\yourfile downloaderupdate.job
SUPPRIME File: c:\documents and settings\roucou\local settings\application data\microsoft\internet explorer\services\search_{bb74de59-bc4c-4172-9ac4-73315f71cffe}.ico
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies


========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Dossier(s)
6 : Fichier(s)


End of clean in 01mn 35s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 13/05/2013 15:50:02 [1168]

 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 Evasion60  Posté le 13/05/2013 à 15:55  
  Groupe Sécurité


29151 Messages

Re

Il n'y avait pas grand chose
C'est OK, pour moi !

Tu peux mettre en "Résolu"
Bonne continuation

 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 
Publicité
 lentjus  Posté le 13/05/2013 à 15:56  
Astucien


3251 Messages

Merci beaucoup Evasion 60

 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
 Evasion60  Posté le 13/05/2013 à 16:00  
  Groupe Sécurité


29151 Messages
lentjus a écrit :

Merci beaucoup Evasion 60

Re

Désinstalle AdwCleaner et ZHPDiag, via le panneau de configuration

 Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Haut de la page 

 > Tous les forumsSécurité

 
Forum PC Astuces© 1997-2014 WebastucesAller en haut de la page