> Tous les forums > Forum Sécurité
 Besoin d'aide pour nettoyage PCSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Aitana
  Posté le 29/06/2014 @ 13:04 
Aller en bas de la page 
Petit astucien

Bonjour,

Mon PC :

-est lent au démarrage,

- continue à "travailler" alors qu'aucun programme n'est en cours.

- plantage internet qui se fige sur une page web et vidéo (flashplayer) qui fonctionne une fois sur 2.

Voici : les rapports

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 29/06/2014
Heure de l'examen: 12:17:13
Fichier journal:
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.06.29.02
Base de données Rootkits: v2014.06.23.02
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: David

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 370340
Temps écoulé: 37 min, 58 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 8
PUP.Optional.PriceGong.A, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{1631550F-191D-4826-B069-D9439253D926}, , [9b9ba8d6780338fee9639eabd32f4ab6],
PUP.Optional.PriceGong.A, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{1631550F-191D-4826-B069-D9439253D926}, , [9b9ba8d6780338fee9639eabd32f4ab6],
PUP.Optional.SweetPacks, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{EEE6C35C-6118-11DC-9C72-001320C79847}, , [a29484fa5229cb6b5b290f3f06fc37c9],
PUP.Optional.SweetPacks, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{EEE6C35C-6118-11DC-9C72-001320C79847}, , [a29484fa5229cb6b5b290f3f06fc37c9],
PUP.Optional.BestToolbar.A, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}, , [0a2c7a04dc9fa29420b555f3a65c0ff1],
PUP.Optional.BestToolbar.A, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}, , [0a2c7a04dc9fa29420b555f3a65c0ff1],
PUP.Optional.WindowsProtectManger.A, HKLM\SOFTWARE\WOW6432NODE\supWindowsProtectManger, , [89ad7e00a1da0a2c36361a929a6846ba],
PUP.Optional.MindSpark.A, HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\APPDATALOW\SOFTWARE\TelevisionFanatic, , [f046a2dc1d5ede58c6472a8c40c235cb],

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 1
PUP.Optional.SimplyTech.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\ABOUTURLS|newtab, %appdata%\SimplyTech\home\home.htm, Bon: (www.google.com), Mauvais: (%appdata%\SimplyTech\home\home.htm),,[6accd6a8e992c373cc8492ee57ad0ef2]

Dossiers: 0
(No malicious items detected)

Fichiers: 2
PUP.Optional.WebsSearches.A, C:\Users\David\AppData\Local\Google\Chrome\User Data\Default\Preferences, Bon: (), Mauvais: ( "startup_urls": [ "http://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1", "about:newtab?source=home" ],), ,[7abc413dbdbec274907a01b8d232ad53]
PUP.Optional.WebsSearches.A, C:\Users\David\AppData\Local\Google\Chrome\User Data\Default\Preferences, Bon: (), Mauvais: ( "homepage": "http://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1",), ,[26100777394237ff0a01a61312f259a7]

Secteurs physiques: 0
(No malicious items detected)


(end)

Publicité
Aitana
 Posté le 29/06/2014 à 13:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Message original par Aitana

*Citation inutile supprimée par la modération.

P.S. : j'ai validé les fichiers pour les mettre en quarantaine.

poussebois
 Posté le 29/06/2014 à 14:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour ,

Apparemment, ton PC est infecté.

  1. Tu lis attentivement l’aide au diagnostic d’un PC infecté (en rouge, en bas dans ma signature).
  2. Tu suis scrupuleusement les indications indiquées, à savoir postes dans l’ordre les 3 rapports demandés : MBAM, AdwCleaner, ZHPDiag.
  3. Tu attends qu’un membre du Groupe Sécurité te prenne en charge.

@ +

Aitana
 Posté le 29/06/2014 à 16:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Aitana
 Posté le 29/06/2014 à 16:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici ci dessus les rapports

Merci de votre aide.



Modifié par Aitana le 29/06/2014 16:46
Aitana
 Posté le 29/06/2014 à 16:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : AdwCleaner[S2].txt

Labougie
 Posté le 29/06/2014 à 19:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

  • Mon Nom est labougie et je vais t'assister au cours de cette désinfection..
  • Si tu es d'accord, nous allons fixer quelques règles pour que la désinfection soit efficace.

    Soit attentif aux lignes suivantes afin que l'intervention se déroule correctement:
  • Ne fais aucune modification sur ton ordinateur y compris installation/désinstallation, suppression de fichiers, modification du registre et l'utilisation d'outils non conseillés.
  • Si tu ne comprends pas quelque chose, ou que cela bloque dans le déroulement d'une tâche, n'hésite pas à poser des questions avant de continuer.
  • Même si ton pc semble aller mieux, cela ne suffit pas à conclure que nous en avons terminé. Continue à suivre les instructions et à répondre aux instructions tant que l'information (Ton PC est sain), n'a pas été diagnostiqué.

  • Soit assuré que ton suivi automatique de réponse via une alerte mail soit actif. Cela permet d'avoir une meilleure réactivité.
  • L'intervention doit être assurée de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.

  • Si tu as ouvert un sujet similaire sur un autre forum, merci de me prévenir afin que je ne fasse pas de recherches inutiles et par souci d'efficacité (on ne prend pas rendez-vous dans 2 garages pour le même problème mécanique),

  • La désinfection comprend un diagnostic, un nettoyage, la suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
  • Quelques-uns des outils utilisés peuvent faire réagir certains antivirus, car ils sont puissants et destructeurs s'ils sont mal utilisés.

Je ne supporte pas les cracks et keygens, donc supprime les, il en est de même pour les windows illégaux.

labougie

Labougie
 Posté le 29/06/2014 à 19:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Tu utilises ce pc à des fins professionnelles, donc, je te conseille vivement de faire une sauvegarde de tes données les plus importantes afin de palier certains plantages.

Quand tu les auras réalisées, procède à ce qui suis.

/ image Restauration système sous Windows 7


  • Dans "Démarrer", puis "Rechercher", tapez restauration, puis cliquez sur "Créer un point de restauration"
  • L’onglet "Protection du système" s’ouvre.
  • Vérifiez que la protection sur C soit bien activée, puis cliquez sur "Créer"
  • Créez un point de restauration système que vous nommez : PC infecté , puis cliquez sur "Créer".
  • Le point de restauration se crée....
  • Un message de réussite apparaît : le point a été créé.
  • Refermez les fenêtres.
  • Aide en images

1/ Malwarebytes

Aide toi de ce tutoriel

2/ Zhpfix



image ZHPFix


Citation

- Logiciel de nettoyage de rapport ZHPDiag développé par Nicolas Coolman. Principalement, il assure la suppression de fichiers et de dossiers, le nettoyage de la Base de Registre et la désinstallation de certains logiciels. Il est nécessaire d'utiliser ZHPFix avec l'aide d'un forum sécurité.


  • Il est très important de copier toutes les lignes.
  • Le script doit comporter obligatoirement comme première ligne : Script ZHPFix.
  • A l'aide de votre souris (avec le pointeur de la souris et clic gauche maintenu)
  • Parcourez et sélectionnez toutes les lignes ci dessous
  • Ensuite, copiez les. (avec le clic droit de la souris, sélectionnez "Copier" dans le menu contextuel).

    EXEMPLE
    image


    Lignes à copier

    Code
    Script ZHPFix
    FirewallRaz
    EmptyPrefetch
    EmptyTemp
    EmptyFlash
    [MD5.9657BA00089954583AE690DF76F145D7] - (.http://simple-files.com/ - SimpleFiles Updater Application.) -- C:\Program Files (x86)\SimpleFilesUpdater\SimpleFilesUpdater.exe [425016] [PID.1260] =>Adware.SimpleFiles
    M2 - MFEP: prefs.js [David - czabxj8j.default-1401277967363\foxyproxy@eric.h.jung] [] FoxyProxy Basic v3.2.4 (..) =>Hijacker.Proxy
    [MD5.9657BA00089954583AE690DF76F145D7] [APT] [SimpleFiles Update Service] (.http://simple-files.com/.) -- C:\Program Files (x86)\SimpleFilesUpdater\SimpleFilesUpdater.exe [425016] =>Adware.SimpleFiles
    [MD5.00000000000000000000000000000000] [APT] [TaskUserUpdate_wp] (...) -- C:\Users\David\AppData\Roaming\~kgmeucc.exe (.not file.) [0] => Infection FakeAlert (Possible)
    [HKCU\Software\SimpleFiles] =>Adware.SimpleFiles
    [HKCU\Software\zbani_revshare] =>PUP.VShareRedir
    [HKLM\Software\Wow6432Node\SimpleFiles] =>Adware.SimpleFiles
    O43 - CFD: 28/05/2014 - 02:27:59 - [] ----D C:\Program Files (x86)\SimpleFilesUpdater =>Adware.SimpleFiles
    O43 - CFD: 28/05/2014 - 02:30:39 - [] ----D C:\Users\David\AppData\Roaming\SimpleFiles =>Adware.SimpleFiles
    [MD5.FF68663BEA6865F688B4C883F9E65645] [WIS][22/06/2014] (.Kreapixel - Webplayer.) -- C:\Windows\Installer\19cd7f9.msi [36864] =>Adware.SocialSkinz
    HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASAPI32 =>PUP.MyPCBackup
    HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASMANCS =>PUP.MyPCBackup
    HKLM\SOFTWARE\Microsoft\Tracing\InstTracker_RASAPI32 =>Adware.PredictAd
    HKLM\SOFTWARE\Microsoft\Tracing\InstTracker_RASMANCS =>Adware.PredictAd
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\basicscan_RASAPI32 =>Adware.BasicScan
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\basicscan_RASMANCS =>Adware.BasicScan
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\GigglingGamesSA_RASAPI32 =>Adware.Hotbar
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\GigglingGamesSA_RASMANCS =>Adware.Hotbar
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\moovida_RASAPI32 =>Adware.SPointer
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SearchSettings_RASAPI32 =>Adware.SearchSettings
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SearchSettings_RASMANCS =>Adware.SearchSettings
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SecondOffer1_RASAPI32 =>PUP.Linkular
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SecondOffer1_RASMANCS =>PUP.Linkular
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SweetIM_RASDLG =>PUP.SweetIM
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\VAFPlayer_RASAPI32 =>PUP.VAFPlayer
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\VAFPlayer_RASMANCS =>PUP.VAFPlayer
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC] =>Adware.Boxore^
    C:\Users\David\AppData\Roaming\Mozilla\Firefox\Profiles\czabxj8j.default-1401277967363\extensions\foxyproxy@eric.h.jung =>Hijacker.Proxy^
    C:\Program Files (x86)\SimpleFilesUpdater =>Adware.SimpleFiles^
    C:\Users\David\AppData\Roaming\SimpleFiles =>Adware.SimpleFiles^
    C:\Program Files (x86)\SimpleFilesUpdater\SimpleFilesUpdater.exe =>Adware.SimpleFiles^
    [HKCU\Software\SimpleFiles] =>Adware.SimpleFiles^
    [HKCU\Software\zbani_revshare] =>PUP.VShareRedir^
    [HKLM\Software\Wow6432Node\SimpleFiles] =>Adware.SimpleFiles^
    C:\Windows\Installer\19cd7f9.msi =>Adware.SocialSkinz^
    C:\Users\David\AppData\Local\Temp\boxore.dat =>Adware.Boxore
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => SYSTEM : Active Desktop désactivé et configuration refusée
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install] LastSuccessTime : Out Of Date => SYSTEM : Aucune mise à jour depuis 15 jours !
    R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1 => Internet Explorer Allows Proxy Settings Remotely
    O4 - HKLM\..\Wow6432Node\Run: [TaskTray] Clé orpheline => Orphean Key not necessary
    O41 - Driver: ({a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64) . (. - .) - C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys (.not file.) => Fichier absent
    O43 - CFD: 01/01/2014 - 10:03:57 - [0] ----D C:\Users\David\AppData\Local\2012 => Empty Folder not necessary
    [MD5.F3B92530E8852FBE30E52B10EBC10DD2] [SPRF][01/01/2012] (...) -- C:\ProgramData\1325414588.bdinstall.bin [234907] => BitDedender Random File Installation
    [MD5.DD2F5CABE1E86ACB3F4C9EB67C472CC9] [SPRF][01/01/2012] (...) -- C:\ProgramData\1325436506.bdinstall.bin [103926] => BitDedender Random File Installation
    [MD5.3BA9F151A623796E31C98A7920A5C347] [SPRF][03/01/2012] (...) -- C:\ProgramData\1325601758.bdinstall.bin [236440] => BitDedender Random File Installation
    [MD5.662BAE063C217F716C38C2454036BA94] [SPRF][31/01/2012] (...) -- C:\ProgramData\1328012750.bdinstall.bin [200069] => BitDedender Random File Installation
    P2 - FPN: [HKCU] [pandonetworks.com/PandoWebPlugin] - (...) -- C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (.not file.) => P2P.Pando



  • Double-cliquez sur le raccourci du programme "ZHPFix" qui est sur votre bureau.
  • Dans l'interface du logiciel qui s'est ouvert, cliquez sur "Importer" pour transférer les lignes copiées.



    image
  • Si le script n'est pas conforme : Un avertissement s'affiche.
  • Si le script est conforme : Le texte copié est affiché dans ZHPFix.



    image
  • Vérifiez bien que le script que vous voyez dans ZHPFix correspond aux lignes copiées.
  • Fermez vos applications en cours (navigateur internet compris) sauf ZHPFix
  • Cliquez sur le bouton « GO » pour lancer le nettoyage.
  • Confirmez ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes.



    image
    image
  • Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script.
  • Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
  • A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows.
  • Le rapport ZHPFix.txt est aussi sauvegardé sur le Bureau Windows.
  • Postez le contenu de ce rapport par copier/coller.
  • Vous pouvez fermer ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres.



3/ image Junkware Removal Tool (de Thisisu)


Citation

Outil qui recherche et élimine les adwares, les barres d'outils et les programmes potentiellement indésirables (PUP).


  • Téléchargez Junkware Removal Tool et enregistrez le sur votre ordinateur : Lien direct
  • Quittez tous les programmes en cours.
  • Avec Windows Vista et ultérieur, faites un clic droit -> lancez le programme en tant qu'administrateur
  • Avec Windows XP lancez simplement Junkware Removal Tool en cliquant dessus.
  • L'outil de suppression va maintenant commencer son travail, et à l'invite de commande, vous aurez besoin d'appuyer sur une touche de votre clavier pour confirmer votre choix.



    image
  • Veuillez être patient(e) car les processus (sauvegarde Erunt et suppression des malveillants) peuvent prendre un certain temps (jusqu'à 10 minutes) en fonction des spécifications de votre système.
  • Votre bureau va disparaitre provisoirement lors du travail de l'outil, ne paniquez pas car c'est normal et attendu.
  • Lorsque l'analyse est terminée, le rapport JRT.txt s'ouvre automatiquement dans le bloc note, un copie se trouve aussi dans le même dossier que Junkware Removal Tool.



    image
  • Postez ce rapport par copier/coller.


4/ Frst

Frst de Farbar



Charge la version qui convient à ton pc. La version 32bits pour un pc en X86 (32bits) ou la version 64bits pour un pc en X64 (64bits).

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Clique sur "Actions" puis sur "Exécuter quand même"


Frst 64 bist version=> Clique sur le lien, le chargement se lancera tout seul.

Dépose Frst.exe sur ton bureau

Regarde bien cette image, frst n'est pas un raccourci, il n'y a pas de flèche

test

Maintenant que tu as chargé la bonne version de l'outil, double clique dessus, puis valide le Disclaimer par "Ok"

image

Coche en + les cases "Drivers MD5" // "Additions.txt" & "Shorcut"

Patient le temps que l'outil analyse ton pc.

Les rapports dont j'ai besoin se situent dans le même dossier que Frst.exe, ils se nomment Frst.txt // Additions.txt & Shorcut.txt

Copie colle les dans ta prochaine réponse

_____________________________________________________________________________________________

Les rapports attendus sont:

* Malwarebytes suppression effectuée

*Zhpfix

*JRT

*Frst les rapports suivant sont attendus => frst.txt // addition.txt // shortcut.txt
_____________________________________________________________________________________________

Voici comment déposer un rapport sur le forum

  • Pour transmettre le rapport clique sur ce lien : Insérer un rapport en bas de page
  • le rapport si situe normalement sur ton bureau => ZHPDiag.txt, frst.txt, addition.txt, shorcut.txt, search.txt, etc....
  • Si toute fois le rapport était trop long, dépose le alors sur,

    http://cjoint.com/
  • Clique sur Parcourir et cherche le fichier demandé

    Sélectionne le fichier Frst.txt (par exemple)

    Clique sur "Créer le lien".

    Un lien de cette forme :

    http://cjoint.com/?iErNEgHkid

    est ajouté dans la page.
  • Copie ce lien dans ta réponse.

labougie

Labougie
 Posté le 29/06/2014 à 19:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Copie colle les lignes bleues suivantes dans le bloc note

Start
file: C:\Windows\SysWOW64\srvany.exe
file: C:\Windows\SysWOW64\WIN-svrGA.exe
Reg: reg query "HKLM\Software\Wow6432Node\Drums" /s
end

nomme ce fichier fixlist

Dépose le sur le bureau (au même endroit que frst.exe)

Lance frst, (attendre que la mise à jour soit faite) presse sur "Fix"

Poste le rapport obtenu fixlog.txt

Labougie

Aitana
 Posté le 01/07/2014 à 11:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : rapport MBAM.txt

Aitana
 Posté le 01/07/2014 à 11:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPFixReport.txt

Aitana
 Posté le 01/07/2014 à 12:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.4 (04.06.2014:1)
OS: Windows 7 Home Premium x64
Ran by David on 01/07/2014 at 11:46:00,08
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4116770032-21449089-622653387-1001\Software\sweetim



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\ProgramData\cloud software ltd"



~~~ FireFox

Emptied folder: C:\Users\David\AppData\Roaming\mozilla\firefox\profiles\czabxj8j.default-1401277967363\minidumps [24 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 01/07/2014 at 11:59:18,40
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Aitana
 Posté le 01/07/2014 à 12:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : FRST.txt

Aitana
 Posté le 01/07/2014 à 12:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Addition.txt

Aitana
 Posté le 01/07/2014 à 12:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Shortcut.txt

Aitana
 Posté le 01/07/2014 à 12:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-06-2014
Ran by David at 2014-07-01 12:19:54 Run:1
Running from C:\Users\David\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
Start
file: C:\Windows\SysWOW64\srvany.exe
file: C:\Windows\SysWOW64\WIN-svrGA.exe
Reg: reg query "HKLM\Software\Wow6432Node\Drums" /s
end
*****************


========================= file: C:\Windows\SysWOW64\srvany.exe ========================

MD5: 4635935FC972C582632BF45C26BFCB0E
Creation and modification date: 2014-06-18 17:58 - 2003-04-18 18:06
Size: 0008192
Attributes: ----A
Company Name:
Internal Name:
Original Name:
Product Name:
Description:
File Version:
Product Version:
Copyright:

====== End Of File: ======


========================= file: C:\Windows\SysWOW64\WIN-svrGA.exe ========================

MD5: 37198115B42B9DCCDD4CC72712C9A65C
Creation and modification date: 2014-06-19 10:59 - 2014-06-19 16:13
Size: 0409088
Attributes: ----A
Company Name:
Internal Name:
Original Name:
Product Name:
Description:
File Version:
Product Version:
Copyright:

====== End Of File: ======


========= reg query "HKLM\Software\Wow6432Node\Drums" /s =========


HKEY_LOCAL_MACHINE\Software\Wow6432Node\Drums
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



========= End of Reg: =========


==== End of Fixlog ====

Aitana
 Posté le 01/07/2014 à 12:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voilà !

Je crois ne rien avoir oublié.

Merci de votre aide.

Labougie
 Posté le 01/07/2014 à 16:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Le rapport de malwarebytes, n'est pas le bon, peux tu de nouveau regarder le tutoriel est me fournir ce dont j'ai besoin

http://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-version-2/

ce dont j'ai besoin

http://security-x.fr/img/public/MBAM/2/mbam2-29.jpg

Je regarde les autres rapports

labougie

Aitana
 Posté le 01/07/2014 à 16:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : rapport MBAM.txt

Aitana
 Posté le 01/07/2014 à 16:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voilà le bon rapport

Labougie
 Posté le 01/07/2014 à 19:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ton pc a des traces du vers Worm_Lineage

Je ne sais pas ce que tu fais avec ton pc, mais tu as une floppée de softs, qui à mon avis ne servent à rien.

1/ A désinstaller

Duplicate Cleaner Free 3.1.4

Si tu n'utilises pas ceux-ci, tu les vires aussi, sinon, indique moi à quoi ils te servent

PKR
PlusVid
Raptr
Raw Therapee V4.0.8.3 x64
Scan2PDF 1.6
ScanToPDF 3.1.4
ShiftN 3.6
ShotOnline
Signal Spam AddIn
UFRaw 0.18
Vsk5Online
Watchtower Library 2013 - Français


2/ Scanne en ligne

Pour ce faire il utiliser ce lien => Virustotal

voici les fichiers en "rouge"

C:\Windows\System32\DRIVERS\RsFx0153.sys
C:\Windows\System32\Drivers\ax6n52c1.sys
C:\Windows\SysWOW64\WIN-svrGA.exe
C:\Windows\SysWOW64\srvany.exe
C:\Windows\SysWOW64\instsrv.exe


3/ Frst

Frst Correction

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,
si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


Copie colle le fichier fixlist.txt au même endroit que FRST.exe
Comme sur la capture ci-dessous

image

Maintenant
Lance FRST.exe, puis clique sur "FIX"
Laisse l'outil faire son job, c'est normalement assez rapide.
Poste le rapport Fixlog.txt quand celui-ci est obtenu

_____________________________

Voici comment fabriquer le fichier fixlist

Copie colle les lignes bleues suivantes dans le bloc note, enregistre ce fichier sur le bureau, nomme le fixlist

Start
Video Converter Packages (HKCU\...\Video Converter Packages) (Version: - ) <==== ATTENTION
Task: {000B4F50-DE74-49AB-98C3-018EFBC8C795} - \YourFile Update No Task File <==== ATTENTION
Task: {1B4AD733-1C3D-4FC7-8762-BE6891417A79} - \GoforFilesUpdate No Task File <==== ATTENTION
Task: {1D007F5B-E516-44AC-BFEE-B4EBEA19A696} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-3 No Task File <==== ATTENTION
Task: {1FFC6CB0-51A6-4254-AAA3-3E4F5AED24CD} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-7 No Task File <==== ATTENTION
Task: {4BDC14F1-0F3B-400A-A9BF-8315967D0EC8} - \globalUpdateUpdateTaskMachineCore No Task File <==== ATTENTION
Task: {4DBB94D6-5D9D-42D2-BF5D-4D62CBE5772B} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-6 No Task File <==== ATTENTION
Task: {82A99018-7969-42A1-99B6-CE6C4B53D03E} - \MySearchDial No Task File <==== ATTENTION
Task: {8E060488-5F2A-4C5C-BB11-8C0707813382} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-5 No Task File <==== ATTENTION
Task: {90C2AB52-0D7D-4813-87B9-56D30C5E1299} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-1 No Task File <==== ATTENTION
Task: {9D9E536E-6EB0-42F5-9939-439D57FD6675} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-11 No Task File <==== ATTENTION
Task: {B4AD1AD5-C4AF-461F-BDDC-757A8CF6977F} - \c7c7d212-d76a-4c13-b9de-cd907442a0f5-4 No Task File <==== ATTENTION
Task: {F1977C95-97B9-48CD-90A2-D80264451736} - \globalUpdateUpdateTaskMachineUA No Task File <==== ATTENTION
2014-07-01 08:39 - 2014-07-01 08:39 - 00098816 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32api.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00110080 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\pywintypes27.dll
2014-07-01 08:39 - 2014-07-01 08:39 - 00364544 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\pythoncom27.dll
2014-07-01 08:39 - 2014-07-01 08:39 - 00045568 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_socket.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 01160704 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_ssl.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00320512 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32com.shell.shell.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00713216 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_hashlib.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 01175040 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._core_.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00805888 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._gdi_.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00811008 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._windows_.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 01062400 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._controls_.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00735232 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._misc_.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00128512 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_elementtree.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00127488 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\pyexpat.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00557056 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\pysqlite2._sqlite.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00007168 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\hashobjs_ext.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00087552 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_ctypes.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00119808 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32file.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00108544 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32security.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00018432 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32event.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00038912 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32inet.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00070656 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._html2.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00167936 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32gui.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00011264 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32crypt.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00027136 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\_multiprocessing.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00122368 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._wizard.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00010240 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\select.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00024064 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32pipe.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00686080 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\unicodedata.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00025600 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32pdh.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00525640 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\windows._lib_cacheinvalidation.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00035840 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32process.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00017408 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32profile.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00022528 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\win32ts.pyd
2014-07-01 08:39 - 2014-07-01 08:39 - 00078336 _____ () C:\Users\David\AppData\Local\Temp\_MEI40882\wx._animate.pyd
C:\Users\David\AppData\Local\Temp\_MEI40882
AlternateDataStreams: C:\ProgramData\Temp:373E1720
AlternateDataStreams: C:\ProgramData\Temp:52DBE86F
AlternateDataStreams: C:\ProgramData\Temp:5C321E34
AlternateDataStreams: C:\ProgramData\Temp:AB689DEA
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-4116770032-21449089-622653387-501-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\...\Run: [Pando Media Booster] => C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
C:\Program Files (x86)\Pando Networks
HKU\S-1-5-21-4116770032-21449089-622653387-501-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\...\MountPoints2: J - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL J:\propo1_ecran_1024.jpg
HKU\S-1-5-21-4116770032-21449089-622653387-501-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\...\MountPoints2: {73266fff-e3e9-11df-866f-485b3968f2de} - H:\autorun.exe
HKU\S-1-5-21-4116770032-21449089-622653387-501-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\...\MountPoints2: {9973e2d7-f4d5-11df-8548-485b3968f2de} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL J:\propo1_ecran_1024.jpg
HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [Pando Media Booster] => C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: J - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL J:\propo1_ecran_1024.jpg
HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {73266fff-e3e9-11df-866f-485b3968f2de} - H:\autorun.exe
HKU\S-1-5-21-4116770032-21449089-622653387-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {9973e2d7-f4d5-11df-8548-485b3968f2de} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL J:\propo1_ecran_1024.jpg
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
SearchScopes: HKLM-x32 - DefaultScope value is missing.
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0DEF5760-5470-42D2-A57D-2CDE17F8A065} URL = http://www.google.com/search?hl=en&q={searchTerms}&rlz=1I7ASUT_frFR419FR404
SearchScopes: HKLM-x32 - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ASUT
SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ASUT
Toolbar: HKLM-x32 - No Name - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - No File
Toolbar: HKLM-x32 - No Name - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No File
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
FF Plugin: @microsoft.com/GENUINE - disabled No File
FF Plugin-x32: @microsoft.com/GENUINE - disabled No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
U4 bdselfpr;
S3 dump_wmimmc; \??\G:\Program Files (x86)\ShotOnline.us\GameGuard\dump_wmimmc.sys [X]
c:\Users\David\Downloads\flvplayer [1].exe
C:\ProgramData\PKP_DLbx.DAT
C:\ProgramData\PKP_DLeo.DAT
C:\ProgramData\PKP_DLes.DAT
C:\ProgramData\PKP_DLet.DAT
C:\ProgramData\PKP_DLev.DAT
C:\Users\David\AppData\Local\Temp\avgnt.exe
end

______________________________________________________________________________________

4/ Usbfix

Utilise le tutoriel suivant

Utilise l'option nettoyage, n'oublie pas de connecter tous les suppports UBS, Hdd Cartes mémoires, clés usb etc...

______________________________________________________________________________________

5/ Frst

Tu supprimes les rapports suivants

Frst.txt addition.txt

Tu coches drivers, additions.txt

Tu cliques sur "Scan"

Les rapports attendus sont:

  1. Désinstallation(s)
  2. Réponses Aux questions sur les softs
  3. Les Scans en ligne ==> tous les fichiers
  4. Fixlog.txt de frst
  5. Suppression de USBfix
  6. Frst.txt & addition.txt

labougie



Modifié par Labougie le 01/07/2014 19:11
Aitana
 Posté le 01/07/2014 à 19:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

1

Labougie a écrit :

Ton pc a des traces du vers Worm_Lineage

Je ne sais pas ce que tu fais avec ton pc, mais tu as une floppée de softs, qui à mon avis ne servent à rien.

1/ A désinstaller

Duplicate Cleaner Free 3.1.4 Désinstallé

Si tu n'utilises pas ceux-ci, tu les vires aussi, sinon, indique moi à quoi ils te servent

PKR Désinstallé
PlusVid -------------------------------fichier introuvable
Raptr Désinstallé
Raw Therapee V4.0.8.3 x64 Désinstallé
Scan2PDF 1.6 Désinstallé
ScanToPDF 3.1.4 Désinstallé
ShiftN 3.6 Désinstallé
ShotOnline - ---------------------------gardé : Jeu de golf en ligne
Signal Spam AddIn - --------------------gardé : logiciel de dénonciation de spam
UFRaw 0.18 Désinstallé
Vsk5Online -----------------------------gardé : jeux simulation de voile
Watchtower Library 2013 - Français Désinstallé




Modifié par Aitana le 01/07/2014 20:19
Aitana
 Posté le 01/07/2014 à 20:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

2/ Scanne en ligne

Pour ce faire il utiliser ce lien => Virustotal

voici les fichiers en "rouge"

C:\Windows\System32\DRIVERS\RsFx0153.sys non trouvé
C:\Windows\System32\Drivers\ax6n52c1.sys non trouvé
C:\Windows\SysWOW64\WIN-svrGA.exe réalisé (résultat : -15
C:\Windows\SysWOW64\srvany.exe réalisé (résultat : +100) Probably harmless! There are strong indicators suggesting that this file is safe to use.
C:\Windows\SysWOW64\instsrv.exe réalisé (résultat : +100) Probably harmless! There are strong indicators suggesting that this file is safe to use.

Aitana
 Posté le 01/07/2014 à 20:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

3/

Fichier joint : Fixlog.txt



Modifié par Aitana le 01/07/2014 20:19
Aitana
 Posté le 01/07/2014 à 20:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

4/

Fichier joint : UsbFix_Report.txt



Modifié par Aitana le 01/07/2014 20:27
Aitana
 Posté le 01/07/2014 à 20:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

5/

Fichier joint : FRST.txt



Modifié par Aitana le 01/07/2014 20:33
Aitana
 Posté le 01/07/2014 à 20:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Addition.txt

Aitana
 Posté le 01/07/2014 à 20:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voilà.

Merci de votre aide.

Labougie
 Posté le 02/07/2014 à 08:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Il faut désinstaller ceci

Video Converter Packages

je regarde les logs frst dans la journée.

comment ce comporte ton pc?

labougie

Labougie
 Posté le 02/07/2014 à 18:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

1/ Frst Correction

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,
si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

Copie colle les lignes bleues suivantes dans le bloc note, nomme ce fichier "Fixlist"

Assure toi qu'il soit au même endroit que FRST.exe

Lance Frst, attendre que la mise à jour s'effectue

Puis clique sur "Fix"

Voici le contenu du fixlist

Start
HKLM-x32\...\Runonce: [] - [X]
Task: {92734F74-DC15-413B-9E4F-F3929AEE3264} - System32\Tasks\RunAsStdUser Task => C:\Users\David\AppData\Local\gigglinggamesSA\bin\1.0.6.0\GigglingGamesSA.exe
CHR HomePage: hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1
CHR StartupUrls: "hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1", "about:newtab?source=home"
CHR HKLM-x32\...\Chrome\Extension: [mdconhhkmfidehpgmfbncnpdpdpfjnfk] - C:\ProgramData\Bcool\mdconhhkmfidehpgmfbncnpdpdpfjnfk.crx [2014-04-11]
2014-07-01 19:28 - 2014-02-26 11:09 - 00000000 ____D () C:\Users\David\AppData\Roaming\Raptr
2014-07-01 19:28 - 2014-02-26 11:08 - 00000000 ____D () C:\Program Files (x86)\Raptr
C:\Users\David\AppData\Local\Temp\avgnt.exe
End

2/ Scanne en ligne

Suivre le lien suivant

https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm


Les rapports attendus sont:

  • Fixlog.txt
  • Eset rappport

labougie

Aitana
 Posté le 03/07/2014 à 00:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Labougie a écrit :

Salut,

Il faut désinstaller ceci

Video Converter Packages

je regarde les logs frst dans la journée.

comment ce comporte ton pc?

labougie

Fait

Le PC se comporte bien.



Modifié par Aitana le 03/07/2014 00:52
Aitana
 Posté le 03/07/2014 à 00:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 01-07-2014
Ran by David at 2014-07-03 00:54:33 Run:3
Running from C:\Users\David\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
Start
HKLM-x32\...\Runonce: [] - [X]
Task: {92734F74-DC15-413B-9E4F-F3929AEE3264} - System32\Tasks\RunAsStdUser Task => C:\Users\David\AppData\Local\gigglinggamesSA\bin\1.0.6.0\GigglingGamesSA.exe
CHR HomePage: hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1
CHR StartupUrls: "hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1", "about:newtab?source=home"
CHR HKLM-x32\...\Chrome\Extension: [mdconhhkmfidehpgmfbncnpdpdpfjnfk] - C:\ProgramData\Bcool\mdconhhkmfidehpgmfbncnpdpdpfjnfk.crx [2014-04-11]
2014-07-01 19:28 - 2014-02-26 11:09 - 00000000 ____D () C:\Users\David\AppData\Roaming\Raptr
2014-07-01 19:28 - 2014-02-26 11:08 - 00000000 ____D () C:\Program Files (x86)\Raptr
C:\Users\David\AppData\Local\Temp\avgnt.exe
End
*****************

HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\\ => Value not found.
'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{92734F74-DC15-413B-9E4F-F3929AEE3264}' => Key deleted successfully.
'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{92734F74-DC15-413B-9E4F-F3929AEE3264}' => Key deleted successfully.
C:\Windows\System32\Tasks\RunAsStdUser Task => Moved successfully.
'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RunAsStdUser Task' => Key deleted successfully.
CHR HomePage: hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1 ==> The Chrome "Settings" can be used to fix the entry.
CHR StartupUrls: "hxxp://istart.webssearches.com/?type=hppp&ts=1401236986&from=slbnew&uid=ST9500325AS_5VEAMHF1XXXX5VEAMHF1", "about:newtab?source=home" ==> The Chrome "Settings" can be used to fix the entry.
'HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mdconhhkmfidehpgmfbncnpdpdpfjnfk' => Key deleted successfully.
"C:\ProgramData\Bcool\mdconhhkmfidehpgmfbncnpdpdpfjnfk.crx" => File/Directory not found.
C:\Users\David\AppData\Roaming\Raptr => Moved successfully.
C:\Program Files (x86)\Raptr => Moved successfully.
C:\Users\David\AppData\Local\Temp\avgnt.exe => Moved successfully.

==== End of Fixlog ====

Aitana
 Posté le 03/07/2014 à 01:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

le scan est en cours...

Aitana
 Posté le 03/07/2014 à 08:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

eset report

Fichier joint : log.txt



Modifié par Aitana le 03/07/2014 08:05
Aitana
 Posté le 03/07/2014 à 20:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci de votre aide

Labougie
 Posté le 03/07/2014 à 22:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir,

Eset a supprimé les fichiers infectés restant puis il a désinfecté les quarantaines des outils.


Frst

Copie colle les lignes bleues suivantes dans le bloc note, et nomme ce fichier fixlist

Start
DeleteQuarantine:
end

Lance frst puis clique sur "Fix"

Poste le rapport obtenu

image DelFix (de Xplode)


  • Téléchargez et enregistrez DelFix
  • Cliquez sur Delfix pour le lancer.
  • Vérifiez et cochez la case : "Supprimer les outils de désinfections"



    image

  • Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
  • Postez par copier/coller le contenu du rapport qui s'est ouvert.

Bien que Delfix crée un point de restauration, je te demande quand même de suivre ceci

image Restauration système sous Windows 7

  • Dans "Démarrer", puis "Rechercher", tapez restauration, puis cliquez sur "Créer un point de restauration"
  • L’onglet "Protection du système" s’ouvre.
  • Vérifiez que la protection sur C soit bien activée, puis cliquez sur "Créer"
  • Créez un point de restauration système que vous nommez : PC propre , puis cliquez sur "Créer".
  • Le point de restauration se crée....
  • Un message de réussite apparaît : le point a été créé.
  • Refermez les fenêtres.

Sx Check and update

http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-sx-checkupdate/


Regarde cette Vidéo de E:Volution, elle est très instructive.

E:Volution Par Mikko Hypponen
Acte ou processus par lequel ce qui est simple ou basic devient complexe ou poussé


Pratiquer un Internet Sain


Une des raisons principales pour laquelle les gens se font infecter est en premier lieu le fait qu'ils ont une très mauvaise pratique de l'internet. Pratiquer un internet sain c'est s'auto éduquer, posséder des outils de sécurité et en avoir une bonne pratique. Connaitre les raisons de son infection ainsi que les fichiers et ou les sites
responsables, permettrons alors de faire de ta machine, une machine plus saine. Ceci est le principal point pour avoir toujours une machine propre. En réalité la plupart des gens qui sont infectés c'est parce qu'ils ont cliqués sur un lien ou \ et un fichier alors qu'ils n'auraient pas duent. Ci-dessous une liste de recommandations à suivre et à connaitre afin de conserver son ordinateur propre et sécurisé.

  1. Si tu reçois une pièce jointe d'un inconnu, NE PAS OUVRIR, c'est aussi simple que cela. Ouvrir cette pièce jointe provenant d'un inconnu, est une méthode commune pour infecter un ordinateur avec un vers ou un virus.
  2. Si tu reçois une pièce jointe avec à la fin l'une les extension suivantes, .exe, .com, .bat, ou .pif ne pas ouvrir jusqu'a ce que tu sois certain(e) que ce fichier est sain. Normalement tu ne devrais jamais recevoir ce type de fichier, si toutefois cela était le cas, avant prends les précautions suivantes. Demande à son expéditeur si il es bien l'auteur de mail, teste ce fichier avec ton antivirus.
  3. Si tu reçois une pièce jointe d'une personne que tu connais, et que celle-ci te semble suspecte, c'est probablement le cas. Alors cet email provient d'une personne infectée avec un Malware (virus) qui tente d'infecter à son tour tout les contacts de son carnet d'adresse.
  4. Si tu surfes sur le web (Internet) et qu'un PopUp (fenêtre) apparaît indiquant que tu es infecté, Ignore la ! Ces attrapes nigaux sont fait pour que tu achètes ce logiciel, mais c'est un Fake (faux). Par exemple un de ces PopUp. Lien à suivre (Merci à S!Ri)

    Ce sont des programmes qui se déguisent eux mêmes en Anti-Spywares ou outils de sécurités, mais ce ne sont en fait que des Rogues. Rogue/Suspect Anti-Spyware Produits & Web Sites & Rogue Data base
  5. Une autre méthode ou tactique pour te leurrer sur le web est de te montrer des PopUp plus vrai que vrai, dans lequel tu auras un message de ce type. Windows message or alert. Si tu cliques dessus, tu vas être redirigé vers un site web qui va te suggerer un produit. Je te conseille fortement de fermer cette fenêtre en cliquant sur la X au lieu de OK. Alternativement tu peux contrôler si il s'agit réellement d'une véritable alerte Windows en faisant un Clique Droit sur la fenêtre. Si dans le menu tu as le message suivant, => ajouter aux favoris <= tu sauras alors que c'est une fausse alerte.
  6. Ne pas allez sur des sites pour Adultes. Je sais que cela peut déranger certains d'entre vous. Mais le fait est qu'une grande quantité de logiciel malveillant est faite pour passer ces types de sites. Je ne suis pas entrain de dire que tout ces sites sont comme cela, mais beaucoup le sont.
  7. Quand tu utilises une messagerie instantané, Msn, Twitter, facebook... ne pas cliquer sur les liens qui te seront proposés. Il s'agit aussi d'une méthode commune pour infecter un ordinateur. La machine infectée se permet d'utiliser le carnet d'adresse et d'envoyer de faux messages avec des vrais liens qui eux sont infectés. Donc par prudence, ne clique pas sur ce message et demande à son auteur, si il en est bien l'instigateur, sinon tu te feras piéger et l'infection rentrera toute seule et avec ton accord.
  8. Reste éloigné des sites de Warez et de Cracks. Déjà c'est casser des copyrights et tout ce que tu chargeras sera infecté et ton Pc sera truffé de vilaines bébêtes, qui vont invitées en plus toute la famille. Suis ce lien Crack, P2P, beaucoup de risques pour quelques économies, (Merci Sham_Rock).
    * Un article de tesgaz sur le crack dans toute sa splendeur
    * Un autre du même auteur sur le P2P et ses conséquences
    * Un article de Malekal sur les dangers du crack
  9. Soit prudent si tu souhaites charger sur des sites de Peer 2 Peer. Les sites te proposent des logiciels dans lesquels sont cachés des Malwares, alors tu penses bien que rien n'est gratuit, même pas le Peer 2 Peer. Et non ce n'est pas de la fiction, de nombreuses infections proviennent du téléchargement illégal.
  10. Ne jamais installer de logiciel sans avoir au préalable lu le Cluf, (tu sais la petite fenêtre te demandant si tu es d'accord pour l'installation), ouai, d'accord, bon nombre sont en anglais mais bon, il n'est pas interdit de se renseigner avant, Hein !!! Car si l'on prend l'exemple de Messenger Skinner, hé bien lui il vas te proposer des pubs, et tu ne pourras rien y faire, tu a dit "Oui" pendant l'installation. Comment crois tu que les développeurs gagnent de l'argent. Oui il y a des Malwares aussi dans ce type de logiciels

Visite très fréquemment Microsoft's Windows Update (Mise à jour Microsoft)

Il est très important de visiter ce site http://www.windowsupdate.com régulièrement. Cela permet de contrôler que ton PC possède bien les dernières mises à jour donc moins de faille sécuritaire. Si toutefois il y avait des mises à jour à réaliser, les charger puis les installer immédiatement. Un redémarrage sera parfois requis, alors redémarre et revisite le site jusqu'à ce que toutes les mises à jour soient réalisées.



Utilise un antivirus

Il est très important d'avoir dans sa machine un antivirus résident (qui surveille en permanence). Il te protègera du mieux qu'il pourra, cela sera fonction aussi du surf que tu auras, donc de ton attitude, tu réfléchis puis ensuite tu cliques pas l'inverse, OK.

Antivirus, Spyware, et Malware Protections


Mettre à jour son antivirus

C'est aussi très important d'avoir les dernières mises à jour pour son antivirus, sinon, ben... il ne sert à rien. La plupart font des mises à jour automatiques, mais ne t'empêche pas de les faire en mode manuelle. De plus ces mises à jour permettent de reconnaitre les dernière variantes virales, alors tu penses bien que cela sera très utile.
Quand ton antivirus arrivera à expiration, il te faudra aussi penser à renouveler sa licence, sinon te ne sera plus protégé.


Assure toi que tout tes logiciels soient à jour

Les mises à jour sont aussi réelles pour tout les autres logiciels que tu utilises.

Utilise un Firewall (Parefeu)


Sans Firewall ton Pc est susceptible de subir des attaques et elles te seront invisibles. Ensuite ton pc sera utilisé à l'insu de ton plein grès. Je suis très sérieux à ce propos, en utilisant un firewall même avec ces réglages de base, tu auras au moins un minimum de protection.

un tuto pour comodo par exemple


Installe un Logiciel AntiSpyware

Nous avons utilisé Malwarebytes-Antimalware (Mbam). C'est un excellent produit mais non résident (travaille uniquement à la demande, donc à la tâche). Garde le, mets le à jour et passe le une fois par semaine, sachant qu'il ne chasse pas les mêmes choses que les antivirus, il te protégera contre les Spywares (logiciels espions)

N'utilises plus ces logiciels Spybot - Search and Destroy et Ad-Aware Personal ils sont obsolètes.




Pense bien aux mises à jour régulièrement

Assure toi d'avoir un système à jour afin de palier les failles sécuritaires. Sans ces mises à jours ton Pc ne sera pas correctement protégé quand un nouveau code malveillant sera sorti.
Sache que toute cette lecture réduira les risques d'infections.

//////////////////////////////////////////////:*

//////////////////////////////////////////////:*

J'aimerais que tu fasses une petite chose pour moi.

S'il te plait, note ton sujet [Résolu] en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou

dans la barre de titre de ton sujet. Merci !

Prudence sur Internet.

Labougie

Aitana
 Posté le 04/07/2014 à 14:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 01-07-2014
Ran by David at 2014-07-04 14:32:21 Run:4
Running from C:\Users\David\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
Start
DeleteQuarantine:
end
*****************

"C:\FRST\Quarantine" => removed successfully.

==== End of Fixlog ====

Aitana
 Posté le 04/07/2014 à 14:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

# DelFix v10.7 - Rapport créé le 04/07/2014 à 14:34:29
# Mis à jour le 27/04/2014 par Xplode
# Nom d'utilisateur : David - DAVID-PC-PORT
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\USBFix
Supprimé : C:\FRST
Supprimé : C:\AdwCleaner
Supprimé : C:\Users\David\AppData\Roaming\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\David\Desktop\FRST-OlderVersion
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\David\Desktop\Fixlog.txt
Supprimé : C:\Users\David\Desktop\FRST64.exe
Supprimé : C:\Users\David\Desktop\UsbFix.lnk
Supprimé : C:\Users\David\Downloads\adwcleaner_3.211(1).exe
Supprimé : C:\Users\David\Downloads\adwcleaner_3.211.exe
Supprimé : C:\Users\David\Downloads\esetsmartinstaller_enu.exe
Supprimé : C:\Users\David\Downloads\JRT.exe
Supprimé : C:\Users\David\Downloads\Shortcut_Module(1).exe
Supprimé : C:\Users\David\Downloads\Shortcut_Module(2).exe
Supprimé : C:\Users\David\Downloads\Shortcut_Module.exe
Supprimé : C:\Users\David\Downloads\UsbFix.exe
Supprimée : HKCU\Software\USBFix
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Shortcut_Module
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

########## - EOF - ##########

clbugnot
 Posté le 04/07/2014 à 17:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour Aitana

Pour indiquer que le sujet est résolu (si tel est bien le cas), cliquer sur Marquer comme résolu dans le bandeau au-dessus du premier message ou en bas de page dans Options.

Cordialement.

Aitana
 Posté le 04/07/2014 à 17:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci de ton aide

Labougie
 Posté le 05/07/2014 à 00:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir,

Avec plaisir.

labougie

Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
Ecran portable 14 pouces ZSUS (2K, USB-C, mini HDMI) à 58,12 €
58,12 € 100 € -42%
@AliExpress
Mini PC BMAX B5 Pro A (Ryzen 7 5825U, 16 Go RAM, SSD 512 Go, Windows 11) à 289 €
289 € 329 € -12%
@Geekbuying
Mini PC ACEMAGICIAN AMR5 (Ryzen 5 5600U, 16 Go RAM, SSD 512 Go, Windows 11 Pro) à 243,75 €
243,75 € 375 € -35%
@Amazon
Rasoir à barbe sans fil Philips QP2724/31 OneBlade à 34,99 €
34,99 € 49,99 € -30%
@Amazon
Smartphone 6.67 pouces Xiaomi Redmi Note 13 Pro 5G (FHD+ OLED 120 Hz, 12 Go/ 512 Go) à 285,77 €
285,77 € 349,90 € -18%
@AliExpress
Ordinateur Raspberry Pi 4 Type B 8 Go à 76,31 €
76,31 € 100 € -24%
@Geekbuying

Sujets relatifs
Besoin d'aide pour le nettoyage =)
besoin d'aide pour un gros nettoyage pc
besoin d'aide pour petit nettoyage
Besoin d'aide pour terminer nettoyage
Besoin d'aide pour le nettoyage de mon pc
Besoin d'aide pour nettoyage (rapport hijackthis)
besoin d aide pour nettoyage
besoin d'aide pour désinfecter un pc
besoin d'aide pour désinfection d'un pc
besoin d'aide pour peut-être sauver vieux pc
Plus de sujets relatifs à Besoin d''aide pour nettoyage PC
 > Tous les forums > Forum Sécurité