FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[laureb81]

Bonjour!

J'ai depuis quelques temps la page http://exchange.datropy.com qui s'ouvre quand je surfe sur internet. Sur certains site des mots apparaissent en vert soulignés de 2 traits.

J'ai passé AdwCleaner et voici le rapport : http://cjoint.com/?DFcrlCmxztL

Que dois-je faire?

Merci d'avance pour votre aide

[g3n-h@ckm@n]

salut

[*]Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.

[*]Télécharge Shortcut_Module sur ton bureau.

Note : Enregistrer votre travail avant de continuer !


[*]Lance Shortcut_Module, [*]Clic sur Nettoyer



Note : Patiente le temps du scan


[*]Laisse travailler l'outil même s'il te parait bloqué
[*]Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"

[*]Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

[laureb81]

Merci pour la réactivité

Voici le rapport de Shortcut Module

http://upload.sosvirus.net/www/?a=di=jshaJ11EUA

[g3n-h@ckm@n]

Désactive ton antivirus.

selectionne ce texte , puis CTRL + C

CouponDownloader
e180d6e8-52cd-41d9-9002-9e43f22d4c91

relance shortcut_module puis clique sur le petit "S" en bas.
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le et relance un nettoyage il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu et relance le nettoyage

poste enfin le nouveau rapport

[laureb81]

Bonjour.

Voici le rapport de Shortcut Module

http://upload.sosvirus.net/www/?a=di=nTqCKi8My9

[g3n-h@ckm@n]

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[laureb81]

Voici le rapport de malwareBytes

http://upload.sosvirus.net/www/?a=di=Njl7WoDOHe

[g3n-h@ckm@n]

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[laureb81]

Voici les rapports de OTL

http://upload.sosvirus.net/www/?a=di=umF5vAGpyN

http://upload.sosvirus.net/www/?a=di=lVuQMb8IO4

[g3n-h@ckm@n]

désinstalle tout Java

=============

colle ce qui suit en bas d'OTL puis clique sur correction , puis poste le nouveau rapport :

:OTL
FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - user.js - File not found
[2013/01/22 13:16:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2013/01/22 13:16:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2013/01/22 13:16:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
[2010/10/12 15:04:50 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Extensions\MediaCoder-Setup-Wizard
O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found.
O4 - HKLM\..\Run: [AlcxMonitor] C:\WINNTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Filepd06.exe (Hewlett-Packard)
O4 - HKLM\..\Run: [iTunesHelper] C:\Program FilenesHelper.exe (Apple Inc.)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemrumprep 0 -k File not found
O4 - HKLM\..\Run: [nwiz] C:\WINDOWS\Sysiz.exe (NVIDIA Corporation)
O4 - HKLM\..\Run: [QuickTime Task] C:\Program Files\Quiexe (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.4.2/jinsta ... s-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.4.2/jinsta ... s-i586.cab (Reg Error: Key error.)
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\applic~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll) - File not found
[2014/05/30 12:44:56 | 000,000,000 | ---D | C] -- C:\Program Files\Software
[2014/05/30 12:44:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Software
[2014/05/30 10:52:43 | 000,000,000 | ---D | C] -- C:\fe98db5ca22d3f2930a14d8b48da22
[2014/05/30 10:23:34 | 000,000,000 | ---D | C] -- C:\7b28a61074101405618bea69
[2014/05/29 12:36:18 | 000,000,000 | ---D | C] -- C:\Program Files\004
[2014/06/04 12:48:00 | 000,000,416 | ---- | M] () -- C:\WINDOWS\tasks\At2.job
[2014/03/10 19:48:04 | 000,000,081 | ---- | C] () -- C:\Documents and Settings\NetworkService\Application Data\WB.CFG
[2014/03/09 17:48:57 | 000,000,088 | ---- | C] () -- C:\Documents and Settings\HP_Propriétaire\Application Data\WB.CFG
[2012/02/28 11:59:12 | 000,111,104 | ---- | C] () -- C:\Program Files\1036.MST
[2012/02/28 11:59:12 | 000,016,046 | ---- | C] () -- C:\Program Files\0x040c.ini
[2012/02/28 11:58:58 | 097,979,392 | ---- | C] () -- C:\Program Files\Samsung New PC Studio.msi
[2012/01/26 19:07:22 | 000,000,000 | ---- | C] () -- C:\Program Files\vlc-1.1.11-win32.exe
[2012/10/07 10:45:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\D-Link(2)
[2012/02/02 16:59:30 | 000,000,000 | ---D | M] -- C:\7589c87cd5dc6994eb2a05f7ec01
[2014/05/30 12:44:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Software
[2014/03/09 15:40:28 | 000,000,000 | ---D | M] -- C:\Program Files\BearShare Applications
[2012/10/07 10:46:06 | 000,000,000 | ---D | M] -- C:\Program Files\D-Link(2)
@Alternate Data Stream - 146 bytes - C:\Documents and Settings\All Users\Application Data\TEMP:094B2B4C
@Alternate Data Stream - 141 bytes - C:\Documents and Settings\All Users\Application Data\TEMP:1FDDA142
@Alternate Data Stream - 135 bytes - C:\Documents and Settings\All Users\Application Data\TEMP:8C885EDD
@Alternate Data Stream - 133 bytes - C:\Documents and Settings\All Users\Application Data\TEMP:8CE601F5
@Alternate Data Stream - 127 bytes - C:\Documents and Settings\All Users\Application Data\TEMP:9C64BB1A

:reg
[-HKEY_CURRENT_USER\Software\APN PIP]
[-HKEY_CURRENT_USER\Software\BearShare]
[-HKEY_CURRENT_USER\Software\ForumerIT]
[-HKEY_CURRENT_USER\Software\Tutorials]
[-HKEY_LOCAL_MACHINE\Software\951]
[-HKEY_LOCAL_MACHINE\Software\fst]
[-HKEY_LOCAL_MACHINE\Software\PIP]
[-HKEY_LOCAL_MACHINE\Software\Tutorials]
[HKLM\Software\Microsoft\Command Processor]
"AutoRun"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"=-

:files
C:\DOCUMENTS AND SETTINGS\HP_PROPRIéTAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\154IL14W.DEFAULT\EXTENSIONS\{3D7E*
C:\DOCUMENTS AND SETTINGS\HP_PROPRIéTAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\154IL14W.DEFAULT\EXTENSIONS\E180D6E8*

:commands
[emptytemp]

[laureb81]

Voici le nouveau rapport de OTL

http://upload.sosvirus.net/www/?a=di=tqxLkGvv39

[g3n-h@ckm@n]

parfait

des soucis persistent ?

[laureb81]

Je n'en ai pas l'impression!
Mon ordi est plus rapide, plus aucune page intempestive ne s'ouvre et plus de mots soulignés!!
Merci beaucoup!  
Laure

[g3n-h@ckm@n]

alors tu peux finir avec le ménage final

http://gen-hackman.purforum.com/t50-fin-de-desinfection

[laureb81]

Voilà tout est fait! Voici le rapport de DelFix

http://upload.sosvirus.net/www/?a=di=5XJaJ5Tmmb

[g3n-h@ckm@n]

Magnifique

on peut fermer ?

[laureb81]

Oui on peut fermer! Merci pour tout.
Laure

[g3n-h@ckm@n]

ok bonne route


Si vous aussi êtes infectés ou avez des problèmes similaires merci d'ouvrir un nouveau sujet en cliquant sur ce lien : http://www.forum-entraide-informatique. ... e=newtopic