FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[rfaganello]

Bonjour,

Comme bcp ces derniers temps, mon PC a été infecté par Awesome HP.
Et impossible de m'en débarrasser simplement.
Pourriez vous SVP me guider pour la démarche à suivre ?
Merci d'avance

[g3n-h@ckm@n]

salut

• Télécharge Adwcleaner (de Xplode) sur ton Bureau !
• Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista,sinon double-clique pour XP
• Choisis l'option Scanner
• Choisis l'option Nettoyer
• Accepte l'avertissement en cliquant sur OK
  
  
• Accepte les avertissements/informations en cliquant sur OK
• Copie et Colle le contenu du rapport qui apparaît au redémarrage du PC

=====================

ensuite fais ceci :

http://gen-hackman.purforum.com/t36-shortcut_module

[rfaganello]

Ci-dessous le rapport de Adwcleaner. Je passe à l'étape 2.



AdwCleaner v3.018 - Rapport créé le 13/02/2014 à 22:37:13
# Mis à jour le 28/01/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Laurence - LAURENCE-VAIO
# Exécuté depuis : C:\Users\Laurence\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16428


-\\ Google Chrome v32.0.1700.107

[ Fichier : C:\Users\Laurence\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [15670 octets] - [07/02/2014 18:34:51]
AdwCleaner[R1].txt - [937 octets] - [13/02/2014 22:35:43]
AdwCleaner[S0].txt - [14504 octets] - [07/02/2014 18:35:32]
AdwCleaner[S1].txt - [859 octets] - [13/02/2014 22:37:13]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [918 octets] ##########

[g3n-h@ckm@n]

ok

[rfaganello]

bonsoir,

Bon, j'ai essayé plusieurs fois depuis hier soir d'éxecuter "Shortcut Module". Il démarre et au bout de quelques minutes plante avec le message suivant :

"Line 9400 (file "C:\.....\Shortcut_module.exe") Error parsing funtion call "


Cela vous dit quelque chose ?

[g3n-h@ckm@n]

retélécharge-le voir ?

[rfaganello]

Bien joué !
Cela a fonctionné cette fois !
Ci-dessous le lien pour le rapport ...


http://cjoint.com/?3Bow0oCvHHa

[g3n-h@ckm@n]

ok donc logiquement il devrait plus t'embeter le machin awesomehp

[rfaganello]

Oui, il semble avoir disparu quand j'ouvre Chrome.
Pas mécontent. Merci beaucoup pour votre aide très efficace !

Je peux désinstaller Shortcut ?

[g3n-h@ckm@n]

re

on a pas fini tout est prevu à la fin pour virer les outils

• Télécharge MalwareBytes Anti-Malware
• Installe le. Décoche "Activer l'essai gratuit de Malwarebytes Anti-Malware PRO"
• Lance Malwarebytes' Anti-Malware.
• Clic sur l'onglet "Mises à jours" puis sur "Rechercher des mises à jours"
• Clic sur l'onglet "Recherche", coche "éxécuter un examen complet" puis clic sur Rechercher
  
  
• A la fin de l'analyse, si MBAM n'a rien trouvé :
• Clic sur OK, le rapport s'ouvre spontanément

• Si des menaces ont été détectées :
• Clic sur OK puis "Afficher les résultats"
• Choisis l'option "Supprimer la sélection"
• Si MBAM demande le redémarrage de Windows : Clic sur "Oui"
• Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
• Sinon le rapport s'ouvre automatiquement après la suppression
• Poste le rapport dans ta prochaine réponse

[rfaganello]

OK. C'est fait ! Ci-dessous le rapport de MBAM :

Malwarebytes Anti-Malware (PRO) 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2014.02.14.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
Laurence :: LAURENCE-VAIO [administrateur]

Protection: Activé

15/02/2014 09:10:08
mbam-log-2014-02-15 (09-10-08).txt

Type d'examen: Examen complet (C:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 386516
Temps écoulé: 1 heure(s), 19 minute(s), 17 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

[g3n-h@ckm@n]

parfait on va pouvoir faire le menage je pense non ?

[rfaganello]

OK pour faire le ménage !

[g3n-h@ckm@n]

on va quand meme faire un diag par securité va....!!

• Télécharge OTL (by OldTimer) sur ton bureau.
  ~ Comment Télécharger sur son Bureau ?
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche les cases suivantes :
  
• Tous les utilisateurs
• Recherche Lop
• Recherche Purity
• Avec Analyses 64 bit Uniquement pour les systèmes en 64 bit

[*]Copie et colle le Script dans le lien ci dessous dans la partie inférieure d'OTL "Personnalisation"

~ Le Script à copier est ici[*]Clique sur Analyse




[*]Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
[*] Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

[rfaganello]

Ci-après les liens vers les 2 rapports d'OTL :

http://cjoint.com/?DBpnMoiz45A

http://cjoint.com/?DBpnOoRVZ0X

[g3n-h@ckm@n]

ok on a bien fait il en reste

refais OTL selon ces consignes j'aurai un rapport + complet :

• Copie le script ci dessous :
  
  HKCU\Software
  HKLM\Software
  HKCU\Software\Microsoft\Command Processor /s
  HKLM\Software\Microsoft\Command Processor /s
  %Homedrive%\*
  %Homedrive%\*.
  %Userprofile%\*
  %Userprofile%\*.
  %Allusersprofile%\*
  %Allusersprofile%\*.
  %LocalAppData%\*
  %LocalAppData%\*.
  %Userprofile%\Local Settings\Application Data\*
  %Userprofile%\Local Settings\Application Data\*.
  %programFiles%\*
  %programfiles%\Google\Desktop\Install /s
  %programFiles%\*.
  %Systemroot%\Installer\*.
  %Systemroot%\Temp\*.exe /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\system32\*.exe /lockedfiles
  %systemroot%\system32\*.in*
  %systemroot%\Tasks\*
  %systemroot%\Tasks\*.
  %systemroot%\system32\Tasks\*
  %systemroot%\system32\Tasks\*.
  %systemroot%\system32\drivers\*.sy* /lockedfiles
  %systemroot%\system32\config\*.exe /s
  %Systemroot%\ServiceProfiles\*.exe /s
  %systemroot%\system32\*.sys
  dir %Homedrive%\* /S /A:L /C
  msconfig
  activex
  /md5start
  explorer.exe
  winlogon.exe
  wininit.exe
  volsnap.sys
  atapi.sys
  ndis.sys
  cdrom.sys
  i8042prt.sys
  iastor.sys
  tdx.sys
  netbt.sys
  afd.sys
  /md5stop
  netsvcs
  safebootminimal
  safebootnetwork
  CREATERESTOREPOINT
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[rfaganello]

Ci dessous les liens pour les 2 nouveaux rapports d'OTL

http://cjoint.com/?DBpoLDa66NY

http://cjoint.com/?DBpoNGW5cm8

[g3n-h@ckm@n]

refais un nettoyage avec ca (j'y ai apporté un paquet de mises à jour), ca devrait en degager encore assez pour m'eviter de faire un script de 3 km de long

supprime chortcut_Module et reprends-le là : http://www.aht.li/2159847/Shortcut_Module.exe

[rfaganello]

Ci-dessous le lien pour le dernier rapport de Shortcut

http://cjoint.com/?DBpruTsQBFg

[g3n-h@ckm@n]

désinstalle Java 7 Update 1

==================

séléctionne ce texte , puis colle-le dans la partie basse d'OTL sous persoennalisation, puis cliue sur correction sans toucher à rien d'autre et poste le rapport ensuite

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://start.mysearchdial.com/results.p ... 7808756ir=
IE - HKU\S-1-5-21-1261621506-3241262601-2604475091-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://start.mysearchdial.com/results.p ... 7808756ir=
IE - HKU\S-1-5-21-1261621506-3241262601-2604475091-1001\..\SearchScopes\{6183E032-6B0D-485D-ACD9-7F264483F6A8}: "URL" = http://rover.ebay.com/rover/1/709-42536 ... earchTerms}
IE - HKU\S-1-5-21-1261621506-3241262601-2604475091-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=localhost:49169
[2013/05/10 07:46:07 | 000,000,000 | ---D | M] (SpecialSavings) -- C:\Users\Laurence\AppData\Roaming\mozilla\Extensions\SpecialSavings@SpecialSavings.com
O4 - HKLM\..\Run: [fst_fr_10] File not found
O4 - HKLM\..\Run: [iTunesHelper] C:\Program FilnesHelper.exe (Apple Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Java Plug-in 10.1.0)
O16 - DPF: {CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Java Plug-in 1.7.0_01)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Java Plug-in 10.1.0)
O16 - DPF: {CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Java Plug-in 1.7.0_01)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Java Plug-in 1.7.0_01)
O33 - MountPoints2\{1bfad615-9ebc-11e2-bed0-685d4358ead9}\Shell - "" = AutoRun
O33 - MountPoints2\{1bfad615-9ebc-11e2-bed0-685d4358ead9}\Shell\AutoRun\command - "" = D:\AutoRun.exe
O33 - MountPoints2\{1bfad618-9ebc-11e2-bed0-685d4358ead9}\Shell - "" = AutoRun
O33 - MountPoints2\{1bfad618-9ebc-11e2-bed0-685d4358ead9}\Shell\AutoRun\command - "" = D:\AutoRun.exe
O33 - MountPoints2\{ea1f109f-9c2a-11e2-857b-30f9edeb560c}\Shell - "" = AutoRun
[2 C:\Windows\*.tmp files - C:\Windows\*.tmp - ]
[2014/01/28 11:29:37 | 000,000,118 | ---- | C] () -- C:\Users\Laurence\AppData\Roaming\WB.CFG
[2013/10/25 09:50:00 | 000,000,000 | ---D | M] -- C:\Users\Laurence\AppData\Local\BeamriseUninstall
[2013/10/25 09:54:14 | 000,000,000 | ---D | M] -- C:\Users\Laurence\AppData\Local\YappyzUninstall
[2014/01/29 19:44:34 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\SearchProtect236711689
@Alternate Data Stream - 129 bytes - C:\ProgramData\Temp:373E1720

:reg
[-HKEY_CURRENT_USER\Software\(null)]
[HKLM\Software]
"38906"=-
[-HKEY_LOCAL_MACHINE\Software\PluginProtect]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0

:files
C:\Users\Laurence\AppData\Local\{*}

:commands
[emptytemp]

[rfaganello]

Ci-joint le dernier rapport

http://cjoint.com/?DBprXu6LIBl

[g3n-h@ckm@n]

ok plus de soucis j'imagine ?

[rfaganello]

Oui, tout fonctionne. A priori ...

[g3n-h@ckm@n]

bien ! tu peux faire le menage : http://gen-hackman.purforum.com/t50-fin-de-desinfection

[rfaganello]

Rapport DELFIX

http://cjoint.com/?DBpsOh228AK

[g3n-h@ckm@n]

ok

[rfaganello]

Finalisation terminée.
Merci pour tout !!!!

[g3n-h@ckm@n]