> Tous les forums > Forum Sécurité
 infection suite mise à jour flash playerSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
bernie50
  Posté le 16/12/2014 @ 13:32 
Aller en bas de la page 
Astucien

Bonjour,

Suite à un clic sur un lien prétendu de flash player, je suis infecté.

J'ai appliqué malware antimalware et adwcleaner qui ont fait un gros nettoyage et zhpdiag, ci-après veuillez trouver les 4 rapports.

Merci d'avance pour votre aide.



Modifié par bernie50 le 19/12/2014 13:47
Publicité
bernie50
 Posté le 16/12/2014 à 13:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : AdwCleaner[R0].txt

bernie50
 Posté le 16/12/2014 à 13:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : AdwCleaner[S0].txt

bernie50
 Posté le 16/12/2014 à 13:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
bernie50
 Posté le 16/12/2014 à 13:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : ZHPDiag.txt

bernie50
 Posté le 19/12/2014 à 13:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Oups , personne ...

Il semble rester 3 lignes infectées dans le rapport Zhpdiag

Normal 0 21

[MD5.00000000000000000000000000000000] [APT] [{ECDFD5BF-1664-4689-A2BE-DBA8898F89A9}] (...) -- C:\Users\Bernard\AppData\Roaming\omiga-plus\UninstallManager.exe (.not file.) [0] =>Hijacker.OmigaPlus

O42 - Logiciel: Shopping Helper Smartbar - (.ReSoft Ltd..) [HKLM][64Bits] -- {DD4CA175-B85B-434A-8A3B-7E04CDD1741F} =>Hijacker.SmartBar

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{DD4CA175-B85B-434A-8A3B-7E04CDD1741F}] =>Hijacker.SmartBar^

Merci d'y jeter un coup d'oeil



Modifié par bernie50 le 19/12/2014 13:59
philae
 Posté le 19/12/2014 à 22:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

up

désolée, je ne peux pas faire mieux que un petit up

Sainthelens
 Posté le 20/12/2014 à 06:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour Bernie50,

Ton PC est effectivement infecté.

Je fais remonter ton message, pour qu'un Helper puisse s'occuper de toi, avant que tu ne passes en page 2.

Evasion60
 Posté le 20/12/2014 à 08:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Bernie

1/
Via le panneau de configuration =>
Désinstalle toutes les versions présentes de Flash-Player

2/

Applique ce correctif =>

Ouvre le bloc-notes
Sélectionne et copie les lignes en gras ci dessous =>


Script ZHPFix
ShortcutFix
EmptyCLSID
Emptytemp
EmptyFlash
[MD5.E8B7FD67DA14A7BE57A5CB80E3139E60] - (.Google Inc. - Google Toolbar Broker.) -- C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe [309704] [PID.4724]
O3 - Toolbar: Google Toolbar - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
O9 - Extra button: eBay.fr [64Bits] - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} . (...) -- C:\Program Files\Internet Explorer\Custom\eBay.ico
[MD5.00000000000000000000000000000000] [APT] [XBXDSQH] (...) -- C:\Users\Bernard\AppData\Roaming\XBXDSQH.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{ECDFD5BF-1664-4689-A2BE-DBA8898F89A9}] (...) -- C:\Users\Bernard\AppData\Roaming\omiga-plus\UninstallManager.exe (.not file.) [0]
O39 - APT: XBXDSQH - (...) -- C:\Windows\Tasks\XBXDSQH.job [1692]
O39 - APT: XBXDSQH - (...) -- C:\Windows\System32\Tasks\XBXDSQH [1692]
O42 - Logiciel: Shopping Helper Smartbar - (.ReSoft Ltd..) [HKLM][64Bits] -- {DD4CA175-B85B-434A-8A3B-7E04CDD1741F}
O42 - Logiciel: tricomfi - (.estdemin.) [HKLM][64Bits] -- {74f1e872-8d6f-4cc7-58d6-c60d8dfe43ed}
[HKCU\Software\XBXDSQH]
[HKCU\Software\estdemin]
[HKLM\Software\Wow6432Node\Markement]
O43 - CFD: 07/10/2014 - 19:43:36 - [] ----D C:\Program Files (x86)\MARKEMENT
O43 - CFD: 16/12/2014 - 11:57:45 - [] ----D C:\ProgramData\54F3DE4E-B7BA-4EBD-8B3B-385D272CC583
O43 - CFD: 16/12/2014 - 12:53:11 - [] ----D C:\ProgramData\boost_interprocess => boost.org
O43 - CFD: 07/10/2014 - 19:43:37 - [] ----D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MARKEMENT
O43 - CFD: 16/12/2014 - 12:37:04 - [] ----D C:\Users\Bernard\AppData\Roaming\tricomfi
O43 - CFD: 16/12/2014 - 12:38:58 - [] ----D C:\Users\Bernard\AppData\Local\com => PUP.Agent
O61 - LFC: 09/12/2014 - 13:38:33 ---A- . (...) -- C:\Users\Bernard\AppData\Roaming\tricomfi\colers.dll [133120]
O61 - LFC: 09/12/2014 - 13:38:33 ---A- . (...) -- C:\Users\Bernard\AppData\Roaming\tricomfi\tivesen.dll [157696]
O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (...) -- firefox.exe (.not file.)
O68 - StartMenuInternet: <Google Chrome> <Google Chrome>[HKLM\..\Shell\open\Command] (...) -- Chrome.exe (.not file.)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{DD4CA175-B85B-434A-8A3B-7E04CDD1741F}]

Double-clique sur le raccourci du programme "ZHPFix" qui est sur ton bureau
Pour Vista/Seven/Win8, par un clic droit et exécuter en tant qu'Administrateur

image

Dans l'interface du logiciel qui s'est ouvert, clique sur "Importer" pour coller le Script ZHPFix


image

Si le script n'est pas conforme
Un avertissement s'affiche
Le script doit comporter obligatoirement comme première ligne Script ZHPFix


image

Si le script est conforme
Le texte précédemment copié doit être maintenant affiché automatiquement dans l'interface de ZHPFix


image

Vérifie que le script dans ZHPFix correspond aux lignes précédentes

Clique sur le bouton « GO » pour lancer le nettoyage

Confirme ce nettoyage en cliquant sur "OUI" dans les deux fenêtres suivantes


image

Ce traitement peut durer jusqu'à plusieurs minutes avant le nettoyage proprement dit des lignes du script
Le nettoyage s'effectue, ne touche à rien pendant cette étape, si le programme demande un redémarrage du pc fait le
A l'issue un rapport ZHPFix.txt s'affiche dans la zone de rapport de l'interface et dans le bloc note Windows
Le rapport est aussi sauvegardé sur le Bureau Windows et dans le dossier => C:\user\nomxxx\AppData\Roaming\ZHP\ZHPFix.txt

Poste le contenu de ce rapport par un copier/coller dans ta réponse sur le forum

Ferme ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres

3/
Télécharge la dernière version de Flash-Player

Adobe Flash Player
Les infos => http://www.adobe.com/fr/software/flash/about/
http://get.adobe.com/fr/flashplayer/
v16.0.0.235 (pour IE)
v16.0.0.235 (pour Firefox)
/!\ Décocher avant le téléchargement => Les options Google ou autres
Nota => Pour Windows 8.1, c'est une KB, qui fait la mise à jour

4/

Télécharge ZHPCleaner (de Nicolas Coolman) => http://www.nicolascoolman.fr/download/zhpcleaner/


Option Scanner

Désactive ton antivirus le temps du téléchargement et de l'utilisation

Ferme ton navigateur

Fais un double clique sur l'icône pour le lancer
Note: Clique droit sur l'icône puis Exécuter en tant qu'administrateur sous Windows Vista, Seven et Windows 8

Accepte "les conditions d'utilisation"

Clique sur Scanner


Note: Durant le Scan, si l'outil te demande "Avez-vous installé ce proxy ?" et que tu n'en as pas installé, clique sur "Non" ou "Voulez-vous remplacer la page d'accueil ?, clique sur "Non"

Image

Copie/Colle ZHPCleaner.txt présent sur ton bureau dans ta prochaine réponse sur le forum

*

Tu as deux rapports à me fournir

Publicité
somebodyone
 Posté le 20/12/2014 à 08:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour tout le monde

Une petite incruste pour fournir une info qui peut être intéressante à connaitre et je

Beaucoup de site proposent de télécharger et installer une version deLAdobe FlashPlayer
afin de pouvoir visualiser une vidéo et c'est un "piaijak" ! ! ! ! ! !

Dans la fenêtre qui propose ce téléchargement vérolé la seule façon de le différencier
c'est parfois le logo qui est usurpé, exemple ci dessous:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . .
. . . . . . . . . . . . . . .. le faux logo Adobe . . . . . . . . .le vrai logo adobe

A noter que pour que cette proposition de téléchargerLAdobe FlashPlayer soit logique ils
proposent toujours une version + 1 de la vraie dernière version de
LAdobe FlashPlayer

Et en partant du principe qu'il est toujours préférable et fortement conseillé d’effectuer le
chargement de Adobe flash Player sur le site officiel



Modifié par somebodyone le 20/12/2014 09:50
bernie50
 Posté le 20/12/2014 à 12:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : ZHPCleaner.txt

bernie50
 Posté le 20/12/2014 à 12:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : ZHPFixReport.txt

Evasion60
 Posté le 20/12/2014 à 17:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re Bernie

Relance ZHPCleaner
Clique sur "Réparer"
Poste son rapport, STP

bernie50
 Posté le 23/12/2014 à 16:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : ZHPCleaner.txt

Evasion60
 Posté le 23/12/2014 à 17:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Bernie

Tu as mis à jour Flash-Player avec mon lien officiel ?

Sinon, le PC est stable ?

Merci de répondre aux deux questions

bernie50
 Posté le 27/12/2014 à 17:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir,

PC stable

Mise à jour effectuée

Bonne fêtes de fin d'année.

Evasion60
 Posté le 27/12/2014 à 17:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Bernie

Bon boulot, nickel

Nous terminons =>

1/ A

XP / Vista / Seven / Windows 8/8.1

Télécharge => http://oldtimer.geekstogo.com/TFC.exe (de OldTimer) sur ton bureau


Lance TFC, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista

  • Clique sur Start

    Note : Patiente le temps du scan

  • Clique sur Exit

    Image
2/

DelFix (d'Xplode)

Citation
DelFix va supprimer les outils utilisés pour cette désinfection.(quarantaines comprises)
DelFix va purger la restauration système potentiellement infectée et créer un nouveau point de restauration propre.
Ce point de restauration sera nommé "Fin de désinfection"
A l'issue Delfix s'auto-supprime.

Téléchargez et enregistrez DelFix

  • Cliquez sur Delfix pour le lancer.
  • Vérifiez et/ou cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système"



    image
  • Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
  • Postez par copier/coller le contenu du rapport qui s'est ouvert.

Le rapport ressemblera à ceci....

  • Code
    # DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59
    # Mis à jour le 04/01/2013 par Xplode
    # Nom d'utilisateur : Patrick - PORTABLE

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\ZHP
    Supprimé : C:\PhysicalDisk0_MBR.bin

    ~ Purge de la restauration système ...

    Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29]

    Nouveau point de restauration créé !

    ########## - EOF - ##########
Vous pouvez maintenant l'enregistrer et poster son contenu.

Tu peux mettre ton sujet en "Résolu" (en bas à gauche de ton sujet)
Bonne continuation

Publicité
petchy
 Posté le 27/12/2014 à 18:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir

J'ai eu la même mésaventure sur mon ancien PC, j'ai donc fait une restauration système et ensuite j'ai passé les outils de désinfection. J'ai eu ce soucis alors que j'utilisais Firefox. Depuis j'utilise Google chrome

bernie50
 Posté le 29/12/2014 à 14:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : DelFix.txt

MERCI... et bonne année 2015



Modifié par bernie50 le 29/12/2014 14:30
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Blocage du navigateur: Mise à jour Flash Player
Suite mise a jour pilotes (infection)
Mise à jour d'Adobe Flash Player dans Internet Explorer
Mise à jour Flash Player Pluging
Mise à jour Flash Player Active X 12.0.0.38
Mise a jour Flash Player ...
fenetre "mise à jour Flash Player"
Attention => Fausse mise à jour Flash Player V:12
Mise à jour Flash Player
[info] Bundle Babylon via mise à jour Flash Player
Plus de sujets relatifs à infection suite mise à jour flash player
 > Tous les forums > Forum Sécurité