Votre question

Malware de redirection google, facebook

Tags :
  • Virus
  • google
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Janvier 2012 10:31:40

Salut,

voilà mon problème, j'ai cliqué sur un lien débile sur mon mur sur FB, depuis mon navigateur est vérolé.
Je suis régulièrement redirigé vers la page d'accueil google ou vers des liens pour applications pourries sur FB.
Je poste en plus à mon insu des videos (p0rn0) sur FB, ce qui est très désagréable.

J'ai essayé plusieurs choses : Avast, TDSSKiller, Malwarebytes .... Rien n'y fait.

J'ai donc un rapport Hijackthis à vous soumettre, avec le secret espoir que vous puissiez m'aider.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:28:45, on 10/01/2012
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Users\user\AppData\Local\Google\Update\1.3.21.79\GoogleCrashHandler.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files (x86)\Kodak\MediaImpression\ArcMonitor.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\VideoLAN\VLC\vlc.exe
C:\Program Files (x86)\Cockatrice\cockatrice.exe
C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Real\RealPlayer\RecordingManager.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\user\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe" -osboot
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [ArcSoft MediaImpression Monitor] C:\Program Files (x86)\Kodak\MediaImpression\ArcMonitor.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [Google Update] "C:\Users\user\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [root-35] C:\Users\user\AppData\Roaming\App.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix:
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 11031 bytes

Merci d'avance pour tout conseil/aide.

Autres pages sur : malware redirection google facebook

10 Janvier 2012 13:28:59

Bonjour ,

Télécharge ******r.exe sur ton Bureau.
---> Télécharger Ici *****

"editer"
a c 612 8 Sécurité
a b á Google
10 Janvier 2012 14:12:45

Bonjour,

@ Doctor76000 : merci de lire les règles de cette section.
http://www.infos-du-net.com/forum/272538-11-rappels-sec...

Les outils ne doivent pas être utilisés sans connaissance, ton outil n'a rien à voir avec l'infection de l'utilisateur !

@ Benjamin Raffoux :

Merci de faire ceci :

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau

    2) Merci de me fournir les rapports des outils utilisés :

    - TDSSKiller (à la base du disque dur, nommé TDSSKiller.x.x.x.x_date_heure_log.txt )
    - Malwarebytes (onglet rapport/log)
    Contenus similaires
    10 Janvier 2012 14:31:45

    Salut, merci de ta réponse.

    Dans l'ordre, j'avais d'abord utilisé OTL (fichier OTL puis Extras en PJ) :
    http://pjjoint.malekal.com/files.php?id=20120110_e11x13...
    http://pjjoint.malekal.com/files.php?id=20120110_m8w14u...

    Puis TDSSkiller :
    http://pjjoint.malekal.com/files.php?id=20120110_c15s6u...

    Enfin MalwareBytes :
    http://pjjoint.malekal.com/files.php?id=20120110_d12x11...
    http://pjjoint.malekal.com/files.php?id=20120110_o14i6o...
    http://pjjoint.malekal.com/files.php?id=20120110_z15k10...

    J'ai aussi utilisé MALAware, qui a trouvé une menace et l'a supprimé, mais je n'ai pas le rapport sous la main. (je ne sais pas si il en existe un)

    Je refais donc un OTL et vous poste le rapport pour reprendre votre prise en charge du début.

    Encore merci.


    10 Janvier 2012 14:32:01

    alors la très drôle j'ai BAC +3 perfectionnement informatique et toi tu a quoi?
    la connaissance je l'ai ...
    je voulais juste aider a la base, mais bon puisque cela ce passe comme ça sur votre forum , je te laisse gérer ...
    en espérant que tu n'ai pas 16 ans du moins je le souhaite aux utilisateurs.
    Mon post a été modifier tu as effacer tout mon texte (sympa,du temps de perdu)
    voici un lien ou quelqu'un répond a une autre personne en lui demandant d'installer des logiciels alors qu'il y a plus simple et là que fait tu?
    en plus il cite ce que je conseille
    http://www.tomsguide.fr/solutions/id-2098899/probleme-t...
    10 Janvier 2012 14:54:21

    @Doctor76000: et à part vouloir jouer à qui-qu'a-la-plus-grosse ?
    Avec un BAC+3 perfectionnement informatique, j'ai quelques doutes sur ce qu'on t'a appris sur la désinfection d'un ordinateur.
    Même avec mon BAC+5 d'ingénieur informatique, je n'ai pas fait de désinfection d'ordi...

    Et oui, sur le forum ça se passe comme ça. Il y a une formation à la désinfection, après quelques mois de formation, les élèves peuvent passer Helper et désinfecter seuls. Si tu souhaites apprendre à désinfecter, tu peux suivre la formation, et si tu as toutes les connaissances, ça ira certainement très vite. Mais là j'ai quelques doutes.

    Et je vois pas le rapport avec ton autre sujet. C'est pas de la désinfection.
    Dans ton sujet, il lui fait installer des outils pour vérifier que le problème ne vient pas d'une éventuelle surchauffe. Quel est le mal à ça ?
    Et tu arrives en demandant s'il avait mis à jour les pilotes de la CG alors qu'il a indiqué qu'il l'avait déjà fait...
    En effet, super réponse !


    Bref, pas la peine de continuer sur ce sujet pour ne pas polluer, mais pas de soucis pour continuer en MP si tu le souhaites.
    10 Janvier 2012 15:17:47

    Décidement la politesse et la douceur sont reine ici bref

    relis le poste il a mis a jour les pilotes Moniteur et pas la carte graphique (d'ou mon conseil )
    ensuite il lui conseille d'installé un logiciel pour enlever les anciens driver (hum hum super la formation , cela peut ce faire tout simplement a partir du panneau de configuration sans installé je ne sais quel utilitaire inutile)
    L'outil d analyse que je donnais aurait pu permettre d'en savoir plus sur l'infection, et si toi petit amateur d'aide sur forum tu te sens fort après une PSEUDO formation d' HELPER EN HERBE c est ton soucis!!!
    comme j ai dit dans mon post d'avant je voulais a la base aidé Benjamin et c est tout ,maintenant il y a la manière de dire et la manière de faire Bref dans une semaine son PC aura toujours le même problémes je suivrai ce sujet de prés voir un peu comment vous vous y prenaient en tout cas merci de ce post inutile qui ne fait que renforcer mon opinion sur votre manière de faire et de dire ...
    a bon entendeur SALUT
    PS: ce n'est peut etre pas un virus ,les liens vers des vidéos se propagent sur les murs comme des spams, et cliquer ne serait-ce que pour voir de quoi il en retourne vous fait automatiquement « aimer » le contenu, ce que signifie alors votre mur ainsi que la page d’accueil de n’importe quel de vos amis. Véritables spams que l’on active par mégarde ou avec la volonté de s’éclater la panse 2 minutes devant une vidéo « buzzante », ces images sont, vous vous doutez bien, animées d’intentions autres que divertissantes.
    je vais vous mettre sur la voie , peut être un nettoyage de ton facebook en trois étapes suffirait largement ...
    mais bon puisque je ne peut pas faire utiliser un utilitaire pour en être sur ...
    (ceci n'est qu'une hypotése et non un diagnostics certain)


    10 Janvier 2012 17:25:09

    Euh, on parle spécifiquement de la section Sécurité, où il y a des helpers qui ont été formés. Les autres catégories (d'où tu sors ton lien d'ailleurs) n'ont pas du tout ce fonctionnement et tout le monde peut répondre sans soucis.
    Mais dans cette section, des utilisateurs te laissent leur PC, et en utilisant des outils qu'on ne maitrise pas, on peut facilement bouziller un PC.

    Alors tu parles d'une formation que tu ne connais pas, avec un truc qui n'a rien à voir... vu que la personne qui a répondue n'a pas été formée à faire de la désinfection... ce n'est pas de la désinfection ton autre topic.

    Bref, ça se passe comme ça dans cette section Sécurité, rien ne t'empêche de répondre dans les autres catégories.
    a c 612 8 Sécurité
    a b á Google
    10 Janvier 2012 17:48:14

    Re,

    Je vais juste donner mon droit de réponse à Doctor76000 avant de continuer :

    -> Look2Me est un outil totalement obsolète sur un adware qui ne circule quasiment plus, donc rien ici n'est en rapport.
    -> Helper est un rang obtenu simplement pour la section sécurité, les autres sections du forum ne sont pas soumises à ces règles.
    -> Quel que soit l'origine d'une infection ou d'un détournement de compte il convient de s'assurer que le pc est sain avant de passer à autre chose. Pour info :
    Citation :
    O4 - HKCU\..\Run: [root-35] C:\Users\user\AppData\Roaming\App.exe

    Ceci est une trace ou un indice de présence d'infection. Que ce soi lié ou pas, il faut approfondir.
    à lire :
    http://www.malekal.com/2011/12/06/dorkbotnrgbot-vers-su...
    Si tu veux en apprendre plus ou te perfectionner, tu as un lien dans ma signature. ...

    Mais bon, comme pour toi je ne suis qu'un jeune c** de 16 ans, je te laisse penser ce que tu veux ;) 

    -----------------

    @ Benjamin Raffoux :

    On reprend donc.

    Quelques remarques avant de continuer :
    Citation :
    Trojan Remover v6.7.6 Build 2564 by knowl3dg3\Keygen

    C:\Users\user\Desktop\avast.AV.Pro.5.0.545.frplus.ctack.license2024.ny.youssinio

    Utiliser des cracks pour avoir des programmes antiviraux qui plus est gratuit pour Avast! est une aberration ...
    80% des cracks contenant eux-même une infection ...

    Je te conseille fortement de supprimer ces programmes et leurs cracks, et réinstaller un antivirus gratuit si tu dois.
    A faire seulement en fin de désinfection maintenant.

    Une des détections de Malwarebyte's contenait un voleur de donnée, il faudra donc modifier tous tes mot de passe de connexion, Facebook et autre compris.

    Ensuite :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    O4 - HKCU..\Run: [MicroUpdate] C:\Windows\system32\MSDCSC\msdcsc.exe File not found
    O4 - HKCU..\Run: [root-35] C:\Users\user\AppData\Roaming\App.exe File not found
    O33 - MountPoints2\{5b056da9-2fb2-11e1-a894-6cf0490574d3}\Shell - "" = AutoRun
    O33 - MountPoints2\{5b056da9-2fb2-11e1-a894-6cf0490574d3}\Shell\AutoRun\command - "" = G:\MI.exe

    :Files
    C:\Windows\system32\MSDCSC
    C:\Users\user\AppData\Roaming\App.exe

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    11 Janvier 2012 17:13:36

    Alors j'ai bien fait OTL :

    http://pjjoint.malekal.com/files.php?id=20120111_t14q5r...

    Maintenant, pour ce qui est du malware de vol de données, est ce que je change ça de suite (pas mal de mdp enregistrés ou non) ou est que j'attends la fin de la détox de mon pc ?

    Pour ce qui est de l'antivirus, j'avoue c'est une connerie, mais en réinstallant une version de Windows un peu à l'arrache à cause de bip système répétitif, j'ai voulu nettoyé mon pc ... radicalement (Ah les ravages de l'alcool ^^).
    En attendant, pour maintenant, j'ai une protection et si on a nettoyé mon pc, l'antivirus ne -devrait- plus poser de problèmes non ?
    Est ce que je le désinstalle tout de suite pour trouver une solution (certainement Avast si j'ai un lien sur) gratuite ? Ou est ce que j'attends que la détox soit terminée ?

    Edit : encore une fois un grand merci ^^
    a c 612 8 Sécurité
    a b á Google
    11 Janvier 2012 19:27:54

    Re,

    Modifie maintenant tes mot de passe, Facebook en priorité et regarde si les message revienne sur ton profil et se transmette encore ou non après cela.

    Pour l'antivirus, oui, désinstalle-le et supprime tous les fichiers avec cracks.

    Pour Avast! gratuit :
    http://www.infos-du-net.com/telecharger/Avast-Antivirus...

    Pas besoin d'installer la barre d'outil Tom's Guide si elle est proposée.

    Fais ensuite un scan complet avec Avast! une fois à jour.

    Tiens-moi au courant des symptômes et problème restant. (lien, redirection, etc ...)
    Si tout est ok on passera au nettoyage des outils utilisés.

    :jap: 
    12 Janvier 2012 22:28:32

    J'ai modifié mes mdp, FB, j'ai l'impression qu'avant le changement je postais encore des sal*peries. Par contre, les redirections ça m'a l'air arrangé. (J'ai pas eu beaucoup l'occasion de trainer sur le pc en ce moment avec le boulot)
    Je verrais si tout va bien dans la soirée.

    L'antivirus n'a pas d'uninstall (même dans le control panel), j'aimerais le désintaller proprement :/  As tu une solution ?

    Merci pour le lien, je n'installe aucune barre d'outil de toute manière.

    Je suis de garde 36h et je pars une semaine en congés, donc je ne pourrais pas te tenir au courant avant le 22/01. Pour le moment, tout va bien. (croisons les doigts)

    Merci encore pour ton aide précieuse.
    23 Janvier 2012 09:19:26

    Salut,

    Donc Avast pro désinstallé et supprimé du DD. Avast free installé.

    Problème FB résolu.(et je ne passe plus pour un admirateur de l'accouchement par voie basse, ce qui est déjà un grand plus)

    Le problème de redirection par contre est toujours là, et plus que jamais. Autant avant (et encore un poil maintenant) ma redirection allait vers des sites comme FB ou page d'accueil google, autant maintenant, c'est du pr0n bien affirmé vers lequel je suis redirigé.
    23 Janvier 2012 09:20:56

    Je précise tout de même que le pc n'a normalement pas été utilisé entre temps.
    a c 612 8 Sécurité
    a b á Google
    23 Janvier 2012 10:25:56

    Re,

    On va regarder.

    Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "registre: approfondi"
  • Coche "90 jours" sous "âge des fichiers"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    /!\ Désactive tes protections résidentes : antivirus, antispyware ... /!\ (Antivir peut bloquer cet outil sans raison valable)

    2) Télécharge MbrScan (de Eric71) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur MbrScan.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "report", un rapport texte va s'ouvrir, copie-le moi dans ta prochaine réponse.
    a c 612 8 Sécurité
    a b á Google
    24 Janvier 2012 21:42:04

    Re,

    Alors en info pour cerner le souci :

    - Les redirections sont-elles que tu sois sous Chrome, Firefox ou internet Explorer ?

    - As-tu d'autre PC sur ton réseau, et ont-ils aussi des redirections ?
    24 Janvier 2012 23:21:08

    Je n'utilise que Chrome, je ne touche pas aux autres.

    Je n'ai pas d'autres pc sur mon réseau, du moins pas régulièrement, 2 PC portables se connectent, mais c'est très occasionnel. Ils n'ont pas l'air d'avoir de soucis. (En tout cas personne ne m'en a touché un mot)
    a c 612 8 Sécurité
    a b á Google
    25 Janvier 2012 09:36:33

    Re,

    :lol:  c'est bien d'être sectaire, mais j'ai besoin que tu utilises les deux autres navigateurs pour me dire s'il sont redirigés aussi ou non afin d'orienter le diagnostique ;) 

    Il faudrait aussi me faire ceci s'il te plait :

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... /!\ (Antivir peut bloquer cet outil sans raison valable)

    Relance MbrScan

  • Ferme toutes tes fenêtres, puis double clique sur MbrScan.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Dump" en haut
  • Sous "Dump Selected MBR", déroule le menu est sélectionne "\Device\Harddisk0\DR0"
  • Clique sur "Dump Selected MBR"
  • Un message de confirmation va s'afficher, valide et ferme l'outil

  • Le fichier "Dump_DR0.mbr" s'est crée sur ton bureau, héberge-le sur un site tel celui-ci et envoie-moi le lien obtenu.

    :jap: 
    26 Janvier 2012 08:54:49

    C'est pas vraiment du sectarisme, c'est que (malheureusement) tout est centralisé au même endroit ^^

    Alors visiblement sous IE, aucun soucis, j'ai surfé 30 minutes avec, en ouvrant et visitant un grand nombre de pages (merci Webplanete).
    FF n'est plus installé chez moi il me semble, comme ça c'est clair.

    Le fichier .mbr : http://dl.free.fr/getfile.pl?file=/YGFF41Gt

    a c 612 8 Sécurité
    a b á Google
    26 Janvier 2012 10:57:17

    Re,

    Merci pour le fichier.

    En passant il te restes donc des restes de Firefox mais bon c'est pas grave en soit :D 

    Tu connais cette extension de Chrome ?
    YouTube Speed UP!
    Tu l'as installée volontairement ?

    Désinstalle-là pour voir :
    http://support.google.com/chrome/bin/answer.py?hl=fr&an...
    27 Janvier 2012 08:19:20

    Salut,
    Youtube Speed UP! n'est pas une extension Chrome (apparemment).
    Elle n'est pas présente dans l'inventaire de mes extensions : Adblock (normal), real player et récemment Avast.
    a c 612 8 Sécurité
    a b á Google
    27 Janvier 2012 10:41:11

    Re,

    Et s'est pas toi qui l'a installé donc, tu ne la connais pas ?

    Affiche les fichiers et dossiers cachés :
    http://www.inforumatique.fr/forum/afficher-les-fichiers...

    Va ici :
    C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions

    Ferme Google Chrome si ce n'est pas fait !

    Supprime ce dossier :
    Citation :
    pfjapgncijdmpijedfhnnndgphkindfk


    Regarde si tu as encore des redirections.
    27 Janvier 2012 11:32:10

    :/ 
    Bizarrement, ce dossier n'est déjà plus présent.
    J'ai l'impression que déjà maintenant, les redirections ont diminué (voir cessé, je n'ai pas eu beaucoup l'occasion de surfer ces dernier jours).

    Je reviens vers toi si les redirections n'ont pas cessé ou d'ici un jour ou 2 le temps de surfer un peu et de vérifier.

    Merci encore de toute ton aide.

    31 Janvier 2012 15:13:34

    Bon, visiblement plus aucuns soucis !

    Pas de redirection depuis mon retour et plus de post frauduleux.

    C'est parfait, merci beaucoup.

    On peut passer à la désinstallation des différents programmes.
    a c 612 8 Sécurité
    a b á Google
    31 Janvier 2012 15:33:51

    Re,

    Ok on y va alors :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement :
    - MBRScan.exe

    Tu peux conserver Malwarebytes pour des scans occasionnel si tu le désires, pense alors à le mettre à jour avant.

    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

    Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS