> Tous les forums > Forum Sécurité
 Browser shopSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
lina2
  Posté le 27/06/2015 @ 10:53 
Aller en bas de la page 
Petit astucien

Bonjour,

j'ai depuis avant hier pleins de pages de pub qui s'affichent sur mon PC.

Elles viennent de Browser Shop.

Est-ce que quelqu'un sait comment je pourrai m'en débarrasser SVP?

J'ai déjà passé CCleaner et Malwarebytes mais rien n'y fait.

D'avance merci

Publicité
Labougie
 Posté le 27/06/2015 à 12:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

  • Mon Nom est labougie et je vais t'assister au cours de cette désinfection..
  • Si tu es d'accord, nous allons fixer quelques règles pour que la désinfection soit efficace.

    Soit attentif aux lignes suivantes afin que l'intervention se déroule correctement:
  • Ne fais aucune modification sur ton ordinateur y compris installation/désinstallation, suppression de fichiers, modification du registre et l'utilisation d'outils non conseillés.
  • Si tu ne comprends pas quelque chose, ou que cela bloque dans le déroulement d'une tâche, n'hésite pas à poser des questions avant de continuer.
  • Même si ton pc semble aller mieux, cela ne suffit pas à conclure que nous en avons terminé. Continue à suivre les instructions et à répondre aux instructions tant que l'information (Ton PC est sain), n'a pas été diagnostiqué.

  • Soit assuré que ton suivi automatique de réponse via une alerte mail soit actif. Cela permet d'avoir une meilleure réactivité.
  • L'intervention doit être assurée de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.

  • Si tu as ouvert un sujet similaire sur un autre forum, merci de me prévenir afin que je ne fasse pas de recherches inutiles et par souci d'efficacité (on ne prend pas rendez-vous dans 2 garages pour le même problème mécanique),

  • La désinfection comprend un diagnostic, un nettoyage, la suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
  • Quelques-uns des outils utilisés peuvent faire réagir certains antivirus, car ils sont puissants et destructeurs s'ils sont mal utilisés.

Je ne supporte pas les cracks et keygens, donc supprime les, il en est de même pour les windows illégaux.

lina2
 Posté le 27/06/2015 à 12:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut Labougie et merci d'avance pour ton aide.*

J'attends les instructions

Labougie
 Posté le 27/06/2015 à 12:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Regarde ce lien, applique les recommandations, poste les rapports demandés en utilisant cette méthode


Ces rapports doivent être enregistrés en format texte, (extension .txt avec le blocnote ou notepad par exemple)

powered by Patrick Paquet

1ère solution - Insertion sur le forum

Au bas de la page de création du sujet ou d'une réponse (sur le forum Sécurité uniquement) cliquer sur "Insérer un rapport"

Dans la page suivante, cliquer sur "Parcourir" ou "Choisissez un fichier" pour pointer vers chacun des trois rapports successivement.

Cliquer maintenant sur "Envoyer"

Les explications en détails

labougie

Labougie
 Posté le 27/06/2015 à 13:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Juste pour t'informer que je serais absent jusqu'à tard ce soir.

En attendant, il faut poster les rapports demandés .

labougie

lina2
 Posté le 27/06/2015 à 13:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok je te poste tous les rapports.

Bonne journée et soirée alors ;)

lina2
 Posté le 27/06/2015 à 13:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag 1.txt

Labougie
 Posté le 27/06/2015 à 13:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

En attendant que tu fournisses les 2 autres rapports.

Je confirme les infections .

  • Connais tu ces mots en rouge

: DhcpDomain = lan.pyram.fr
: DhcpDomain = tartroudom.local

  • Est-ce un pc de boulot ?
  • Ceci m'embarrasse est-ce bien utile?

Learnpulse\Screenpresso\Screenpresso.exe

  • Ta licence seven pro est elle bien officielle ou trouvée sur gogol?

labougie

lina2
 Posté le 27/06/2015 à 13:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : FRST.txt

Publicité
lina2
 Posté le 27/06/2015 à 13:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Addition.txt

lina2
 Posté le 27/06/2015 à 13:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Addition.txt

lina2
 Posté le 27/06/2015 à 13:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Shortcut.txt

lina2
 Posté le 27/06/2015 à 13:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je viens de poster les autres rapports.

Oui je connais les mots en rouge.

Il s'agit bien d'un pc de boulot, effectivement.

Oui je crois que c'est utile pour mes connexions à distance avec nos serveur

Screenpresso est assez utile oui

En ce qui concerne la licence seven pro, je pense qu'elle est officielle, mais je ne peux te l'assurer. L'informaticien s'occupe de préparer nos PCs, donc je ne sais te confirmer

Merci

Labougie
 Posté le 27/06/2015 à 13:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Je vais avoir des problèmes pour t'aider , pourquoi?

  • Les outils que j'utilise possède des routines d'exécution, donc, certains de tes paramètres vont sautés, , pas cool, ni pour toi, ni pour moi, encore moins pour le staff de ta boutique,
  • Du coup, je vais devoir faire certaines manipulations à la main, cela va prendre du temps,
  • Je ne vais pas tout pouvoir te retirer, car je ne souhaite pas planter le boulot du Staff de ta boutique. Ce travail est pour le Staff de ta boutique (ce n'est pas que je ne peux pas t'aider, mais trop de restrictions imposées par les Admins du Staff, font que je risque de bousculer leurs Règles de fonctionnement, donc perturber le fonctionnement avec les serveurs)
  • Il va te falloir être patient, et surtout, bien sauvegarder tes données Pro.

Ton navigateur Chrome, je vais lui faire faire de grosses modifications (il est corrompu).

Nous avancerons à pas de velours.

Comprends tu bien ma position ?

labougie

Ps

Tard ce soir

Labougie
 Posté le 27/06/2015 à 13:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pour remplacer screentruc tu fais:

  • Presse les touches Win + R
  • tape dans la fenêtre exécuter
  • snippingtool
  • presse entrée

Te voici avec un outil natif Microsoft très fonctionnel, que j'utilise au quotidien.

labougie

lina2
 Posté le 27/06/2015 à 13:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je comprends ta position, pas de soucis.

Pour l'outil de capture écran, celui natif est quand même bien moins fonctionnel que screenpresso. Après, si c'est ça qui pose des soucis je supprimerai.

Si tu me dis qu'il es indispensable de le supprimer, j'obéïrai, pas de soucis.

Labougie
 Posté le 28/06/2015 à 02:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Hello,

1/ les favoris

Il va te falloir sauvegarder tes favoris avant d'attaquer le boulot.

Pour IE 1 ou 2 ou 3

Pour Firefox 1

Pour chrome 1


Bien produire les étapes dans l'ordre, car Zoek va purger tes navigateurs, et les remettre à zéro

Si une étape bloque, tu vien le signaler, et arrêtes toutes manipulations.

Zoek est très puissant, donc soit très patient.

Stoppe tous les travaux en cours et enregistre les,,, mettre aussi en pause tes protections


Charge cet outil

2/ Zoek By Smeenk

Désactive ton antivirus car Zoek.exe sera sans doute supprimé au chargement, l'outil est reconnu néfaste mais ne l'est pas, c'est un faux positif.

Lien de chargement de l'outil.

Double clique sur l'exe, pour obtenir ceci

Gui 1

Copie colle le script bleu suivant dans le cadre de l'outil , /!\ il va te falloir lancer l'outil deux fois car il y a deux scripts bien distincts

Script1

createsrpoint;
C:\Windows\system32\FxsTmp;virustotal;
C:\Program Files\GUT41A0.tmp;virustotal;
C:\Users\c-llinares\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini;virustotal;
C:\Users\c-llinares\AppData\Local\recently-used.xbel;virustotal;
C:\Users\c-llinares\AppData\Local\Learnpulse\Screenpresso\Screenpresso.exe;virustotal;

Script2

createsrpoint;
emptyalltemp;
CHRdefaults;
iedefaults;

  • Clique sur "Run Script"

La fênetre de l'outil disparaît un instant puis affichera ce texte

Zoek.exe is running now.
Do not start any browser windows, they may get closed automatically.
Please wait! This window will close when finished.
A logfile will open afterwards and can also be found on your systemdrive as zoek-results.log

Patiente le temps que l'outil produise son rapport.
En fonction des options demandées, le scan peut être long 5 à 10 min

Le rapport s'ouvre automatiquement et, est stocké sous c:\ le rapport sera de la forme C:\zoek-results2014-04-06-000151.log
Si un redémarrage est nécessaire, fais le, et le rapport s'ouvrira ensuite.


Pendant le scan, l'outil affichera une progression de cette façon


zoek progression



3/ image ZHPFix powered by Patrick Paquet


Citation

- Logiciel de nettoyage de rapport ZHPDiag développé par Nicolas Coolman. Principalement, il assure la suppression de fichiers et de dossiers, le nettoyage de la Base de Registre et la désinstallation de certains logiciels. Il est nécessaire d'utiliser ZHPFix avec l'aide d'un forum sécurité.


  • Il est très important de copier toutes les lignes.
  • Le script doit comporter obligatoirement comme première ligne : Script ZHPFix.
  • A l'aide de votre souris (avec le pointeur de la souris et clic gauche maintenu)
  • Parcourez et sélectionnez toutes les lignes ci dessous
  • Ensuite, copiez les. (avec le clic droit de la souris, sélectionnez "Copier" dans le menu contextuel).

    EXEMPLE
    image


    Lignes à copier

    Code
    Script ZHPFix
    EmptyPrefetch
    EmptyTemp
    EmptyFlash
    [HKCU\Software\AppDataLow\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}] =>Adware.Graftor
    O43 - CFD: 18/09/2014 - 22:15:11 - [] ----D C:\Program Files\Reimageplus.com =>Rogue.ReimageRepair
    O43 - CFD: 18/09/2014 - 21:48:50 - [] ----D C:\Program Files\Software => Adware.Boxore
    O43 - CFD: 18/09/2014 - 21:41:30 - [] ----D C:\Users\c-llinares\AppData\Local\Software => Infection PUP (Adware.Boxore)
    C:\Program Files\Reimageplus.com =>Rogue.ReimageRepair^
    C:\Program Files\Software =>Adware.Boxore
    C:\Users\c-llinares\AppData\Local\Software =>Adware.Boxore
    [HKCU\Software\AppDataLow\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}] =>Adware.Graftor^




  • Double-cliquez sur le raccourci du programme "ZHPFix" qui est sur votre bureau.
  • Dans l'interface du logiciel qui s'est ouvert, cliquez sur "Importer" pour transférer les lignes copiées.



    image

  • Si le script n'est pas conforme : Un avertissement s'affiche.
  • Si le script est conforme : Le texte copié est affiché dans ZHPFix.



    image

  • Vérifiez bien que le script que vous voyez dans ZHPFix correspond aux lignes copiées.
  • Fermez vos applications en cours (navigateur internet compris) sauf ZHPFix
  • Cliquez sur le bouton « GO » pour lancer le nettoyage.
  • Confirmez ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes.



    image
    image

  • Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script.
  • Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
  • A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows.
  • Le rapport ZHPFix.txt est aussi sauvegardé sur le Bureau Windows.
  • Postez le contenu de ce rapport par copier/coller.
  • Vous pouvez fermer ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres.

4/ Frst correction

Charge le fichier fixlist qui se trouve dans le post de dessous, car il est franchement long.

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,
si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


Copie colle le fichier fixlist.txt au même endroit que FRST.exe
Comme sur la capture ci-dessous

image

Maintenant
Lance FRST.exe, puis clique sur "FIX"
Laisse l'outil faire son job, c'est normalement assez rapide.
Poste le rapport Fixlog.txt quand celui-ci est obtenu

Comment faire le fichier fixlist

Copie_colle les lignes bleues suivantes dans le bloc note, puis nomme ce fichier fixlist

start
CMD: For %i in ("C:\AdwCleaner\AdwCleaner[R0].txt") do for /f "delims=" %p in ('type "%i"') do echo %p
CMD: For %i in ("C:\AdwCleaner\AdwCleaner[S0].txt") do for /f "delims=" %p in ('type "%i"') do echo %p
CMD: for /d %f in ("C:\Users\%username%\AppData\Local\{*}") do rd /s /q "%f" && echo Suppression de %f OK
folder: C:\Program Files\CUtThePurice
folder: C:\Program Files\Image Downloader
folder: C:\Program Files\LighterMaker
folder: C:\Users\c-llinares\Desktop\Interzum 2015
AlternateDataStreams: C:\Users\p-cherioux\Downloads\noname (1).eml:OECustomProperty
AlternateDataStreams: C:\Users\p-cherioux\Downloads\noname (2).eml:OECustomProperty
AlternateDataStreams: C:\Users\p-cherioux\Downloads\noname (3).eml:OECustomProperty
AlternateDataStreams: C:\Users\p-cherioux\Downloads\noname (4).eml:OECustomProperty
AlternateDataStreams: C:\Users\p-cherioux\Downloads\noname.eml:OECustomProperty
HKU\S-1-5-21-1085031214-1229272821-839522115-1325\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR dev: Chrome dev build detected! <======= ATTENTION
U3 mbr; \??\C:\Users\C-LLIN~1\AppData\Local\Temp\mbr.sys [X]
S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
C:\Users\c-llinares\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpdjodmb.dll
C:\Users\c-llinares\AppData\Local\Temp\Quarantine.exe
C:\Users\c-llinares\AppData\Local\Temp\sqlite3.dll
C:\Users\ls\AppData\Local\Temp\{7C8077F0-CDD7-4404-B7F0-44D65F383636}-GoogleUpdateSetup.exe
C:\Users\ls\AppData\Local\Temp\{A7962393-41F9-41E9-9974-AB772296C158}-27.0.1453.116_27.0.1453.110_chrome_updater.exe
end


Les rapport attendus sont:

  • Zoek logs 1 &2
  • Zhpfix
  • Fixlog

Mises à jour à faire en fin de travail et à voir avec ton staff du boulot

Pourquoi avec eux,,,, je ne connais pas tes logiciels pro, il est possible que certains soient impactés par une modification,,,, /!\ toutefois si tu dois procéder aux mises à jour.

Il faudra éviter certains pièges, pour cela , je t'invite à revenir vers moi, quand ton Staff aura avalisé cette affaire de mise à jour

Liste à suivre
Adobe Flash Player 11 ActiveX => Adobe Systems
Adobe Reader X => Adobe Systems
Java 7 Update 67 => Oracle
Java(TM) 6 Update 26
O42 - Logiciel: Adobe Flash Player 11 ActiveX
O42 - Logiciel: Java 7 Update 67

Labougie

Publicité
lina2
 Posté le 29/06/2015 à 14:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut Labougie,

en lisant des mises en garde ça me fait un peur peur.

Que penses-tu du fait que je demande à mon service informatique?

Je suis désolé, d'habitude sur mon perso je passe par PCA, mais là je me dis que si on fait une boulette ça craint.

Merci de ton retour et de ta compréhension.

Labougie
 Posté le 29/06/2015 à 20:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut Lina,

J'ai posé les conditions, si tu souhaites passer par ton service interne, aucun souci pour moi.

Les mises en garde sont là justement pour faire prendre conscience que je peux intervenir, mais que je limiterai aussi mon action . Pas d'outil automatisé pour éviter les erreurs.

Si besoin, ils peuvent me joindre via MP en se présentant.

Labougie

lina2
 Posté le 29/06/2015 à 20:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ok merci Labougie de ta compréhension.

Je vois avec eux.

Bonne continuation.

Problème non résolu pour le moment mais je le note comme ça quand même.



Modifié par lina2 le 29/06/2015 20:43
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Infection Hijacker.Browser
installation de Tor Browser 4.0.4 Fr
virus "google redirection" , browser redirigé chaque seconde .. ( rootkit?)
Virus "browser", mon PC s'éteint tout seul
AVAST web browser applet control
avira browser safety
Avast browser
Avira Free Antivirus avec Protection Cloud et Browser Safety
ouverture browser sur"adf.ly"
Besoin d'aide pour virer Ginyas browser companion
Plus de sujets relatifs à Browser shop
 > Tous les forums > Forum Sécurité