FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[nergens]

 soir,

Bièsse que je suis, vient de me choper open candy !

MalwareB vient de le détecter en menance simple.
Connexion boiteuse, saute tout le temps. Pourtant je faisais gaffe.   
Est-ce que c'est assez le malwareB et après CCleaner ? Ou faut il désinfecter plus ?
Désolée

Mi.

[lilidurhone]

Hello

On va vérifier quand même


* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.nicolascoolman.fr/?wpdmdl=803 ou http://www.commentcamarche.net/download ... 99-zhpdiag

* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
https://www.sosvirus.net/telecharger/zhpdiag/

* Double clic si tu es sous windows xp(sinon clic droit afin de l'exécuter en tant qu'admin à partir de Vista)

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin
http://cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png

* A l'ouverture du logiciel il te sera proposé 3 options "rechercher", "configurer" et complet

* Cliques sur "complet"

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.

* Le rapport est hébergé:
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP

* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir

* Choisis le type de diffusion (illimitée ou 21 jours)
* Puis cliques sur créer le lien cjoint

* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse

* Pour t'aider http://www.commentcamarche.net/faq/2949 ... ser-cjoint

[nergens]

 Lili,

Je suis là, mais tous est super lent. ZHP exe se charge à 20ko/s.

J'ai prix le tuto FEI, que je connaît mieux : http://www.forum-entraide-informatique. ... g-tutoriel

Donc j'arriveeeeeeeeeeeeeeeeee

Mi.

[nergens]

 Yesssss,

Voilà ZHP

http://cjoint.com/?DFovkuuSOIa

Mi.

[lilidurhone]

Super je regarde ça

Ce que je peux te dire pour l'instant

Fais gaffe aux cracks

Que comptes tu faire de tes cracks?

Je te prépare le script

Connais tu

O44 - LFC:[MD5.9C17BCA3EF837BACDED7E4299508E71D] - 2/06/2014 - 08:33:17 ---A- . (...) -- C:\Windows\IFinst27.exe

Te sers tu de la barre Google?

[nergens]

 Lili,

Crack ??????   

Je te mets ce que avira me signale depuis 2-3 heures et à chaque fois je redéplace en quarentaine.
http://cjoint.com/?DFovAT4E5p1

Mi.

[lilidurhone]

Hello

Rien de grave ce sont juste des détections des pages web

Cela peut être aussi un faux positif de la part de Zhpdiag aussi

Je parlais de ça

"C:\Documents and Settings\hp\Desktop\Syberia I\Syberia - Part 3\Keygen.exe =.Crack,Keygen
C:\Program Files (x86)\JDownloader\jd\img\hosterlogos\cracked.com.png =.Crack,Keygen"

[nergens]

 re Lili,

cà pourrait être un jeu ? m**** alors, le fiston. mais[ça fait plus de 15 jours, /i] - c'est à cause de ça que ça m**** ?

Et le truc Avira ?

Mi.

[lilidurhone]

Désinstalles les 2 choses indiquées

Pour le JS redirector c'est sur quel site?

Au pire désactive Java de tes navigateurs

[nergens]

 

Le truc Jdownloader, j'n sais pas l'enlever

Pour le JS redirector c'est sur quel site?
Au pire désactive Java de tes navigateursJe n'comprends pas, c'est quoi JS director ?   

Mi.

[lilidurhone]

La détection d'avira se fait dans quel fichier ou quel site?

Au pire tu peux nettoyer les fichiers temporaires et faire un scan avec Avira en l'ayant mis à jour

[nergens]

 lili,

- Comment puis-je voir où Avira l'a détecté ? (Et Avira est à jours - sécunia et File Hippo)
- J'ai fait une analyse complète avira il y a 3 h.
- Quand tu parles de scan c'est ccleaner ?

Mi  

[lilidurhone]

Hello

La capture que tu m'as montré ici http://cjoint.com/14jn/DFovAT4E5p1.htm

Nettoie avec Ccleaner et refais une analyse après avoir nettoyer et vider la quarantaine

[nergens]

re  

CCleaner fait. Redémarer fait.

Quand tu parles d'analyse, c'est d'avira que tu parles ? Ou MBAM ou ?

Mi.

[lilidurhone]

Avira

On continue demain

[nergens]

 nuit,

Viens juste (seulement   ) de voir ça :
"Je te prépare le script   Connais tu   O44 - LFC:[MD5.9C17BCA3EF837BACDED7E4299508E71D] -2/06/2014 - 08:33:17 ---A- . (...) -- C:\Windows\IFinst27.exe  Te sers tu de la barre Google?"]
Je ne connais pas 044 - LFC
Et je ne me sers quasiment jamais de Goole (préfère Safari - sur pc hein !) et donc la barre ne me dit rien.

Et puis là pendant que j'écris, avira me signle pour la xème fois le même virus - donc ça continu, ce http://cjoint.com/14jn/DFovAT4E5p1.htm

Mi.

PS : trouvé ça http://www.google.be/url?sa=trct=jq=js% ... 1936,d.ZGU

Trop fatiguée c'est pour demain

[lilidurhone]

Ok à demain alors

[nergens]

 jour,

Bon ben voilà.
J'ai désinstallé Jdownloader, la google toolbar pour explore.

"La détection d'avira se fait dans quel fichier ou quel site?"]J'ai recopié (clic droit sur le virus en quarantaine) :
C:\Users\hp\AppD\Roaming\Apple Computer\Safari\PubSub\Feeds\c32eaf5df9e72a3121a10f1b3c37d8db0a705aa2.xml
Contient le modèle de détection du virus de script Java JS/Redirector.EB.76

Lancé et tj en cours : Avira scan complèt et Windows Defender scan complèt [i](je n'crois pas qu'ils vont trouver qq chose)[/i]

Avira continu à signalé ce fameux truc, en faite toutes les demi-heures. Et je le place en quarantaine.

Ccleaner et refais une analyse après avoir nettoyer et vider la quarantaineQuand tu dis vider la quarantaine, tu veux dire supprimer (delete) ce qui est dans la quarantaine de Avira ?

Ben, pour le moment, c'est tout. Super leeeeeeeeeeeeeeeent
Mi.

[lilidurhone]

Hello


Il faudrait que tu reinitialise Safari car avira le détecte là dedans


Oui vider la quarantaine

[nergens]

 jour lili,

J'ai vidé la quarantaine Avira. J'ai réinitialisé safari après (je l'avais déjà fait 2 fois hier et 2 fois aujourd'hui)
Et j'ai refait ccleaner.

Et pîle à l'heure, Avira mes signale le bidule, je l'ai remis en quarantaine ... pfffffffff

Donc il revient toujours. Que faire ????

Mi.

[lilidurhone]

Peux tu refaire Mbam?

Ensuite on va passer Shortcut Module

http://www.forum-entraide-informatique. ... e-tutoriel

[nergens]

re   

MBAM terminé. Il n'y a rien.

Pour shortcut, il faut désactiver avira, mais le bidule revient toute les demi-heures, pas dangereux alors ?   

Mi.

[lilidurhone]

Non rassure toi pas dangereux

[nergens]

 re,

Voilà le rapport shortcut : http://cjoint.com/?3FpmwxS5PZC

Au lancement de shortcut, j'ai eu une fenêtre avec :
Line21 (File "C:\Shortcut Module\Protect Module.exe") : Error : Variable used without being déclared

Et à la fin (99%) Une fenêtre avec Streams Licence Agreement (Sysinternals (...) and you. J'ai cliqué sur I agree.

Et après le redémarrage de l'ordi - devine Avira à de nouveau signalé, et j'ai mis en quarantaine.

Désespérant
Mi.

[lilidurhone]

Comme tu le dis


Quand Avira te le signale tu es bien sur FEI?



Si un de mes collègues a une idée?

On va vérifier tes dns

• Télécharge sur le bureau RogueKiller
• Quitte tous tes programmes en cours
• Sous Vista/Seven , clique droit - lancer en tant qu'administrateur
• Sinon lance simplement RogueKiller.exe
• Patiente pendant le pre-scan, puis clique sur le bouton "Scan"
• Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

[nergens]

 lili,

Voilà le rapport : http://cjoint.com/?3FpnayzubgP

Je croise les doigts
Mi.

[lilidurhone]

Il faudra que tu décoches avant suppression

[Suspicious.Path] \\Registration -- "C:\Program Files (x86)\Hewlett-Packard\HP Setup\Dependencies\RemEngine.exe" (Registration ShowMessageTask2D) - TROUVÉ


Tu pourras lancer la suppression puis HOST RAZ (ton fichier host a été modifié )

[nergens]

re   ,

Donc je dois cocher tout dans (là c'est pas cocher pour le moment) ?
Registre
Hosts
Navigateurs Web

et dans :
Taches : décocher [Suspicious.Path] \\Registration -- "C:\Program Files (x86)\Hewlett-Packard\HP Setup\Dependencies\RemEngine.exe" (Registration ShowMessageTask2D) - TROUVÉ

Antirootkit, Fichiers, MBR (il n'y a rien)

Et puis cliqué supprimer

Mi.

[lilidurhone]

Tâches planifiées

Au pire pas grave tu lances la suppression

[nergens]

Voilà,

fait uniquement les deux des Tâches. Le restes j'ai pas supprimé.

Et voilà que avira me chante - c'est tj la - mis en quarantaine

  
Mi

[lilidurhone]

Tu as fait HOST RAZ?
Poste moi le rapport

[nergens]

 

c'est quoi HOST RAZ ?

Mi.

[lilidurhone]

Relances Roguekiller (après le scan) et cliques sur HOST RAZ

Ton fichier host a été modifié par Open candy

[nergens]

 

Ok trouvé, avira le bloquait donc désactivé avira et host raz marque avec succès

Merciet
Mi.

[lilidurhone]

Super

Normalement avira ne devrait plus couiner

Refais zhpdiag

[nergens]

re,

oui, mais roguekiller me dit quand je veux le fermer : aucun éléments n'a été supprimé ??????

Fallait-il que je côche tout ?

Mi.

[lilidurhone]

Oui fais le supprimes

[nergens]

re re re re   

Roguekiller : http://cjoint.com/?3FpnUElKV4o
ZHP : http://cjoint.com/?3Fpn0ouRrtU

Et pendant ZHP, avira - bestiole - quarantaine

  
Mi.

[lilidurhone]

Reste la solution

Désinstaller proprement Safari et le réinstaller?

[nergens]

  Lili,

Là, je vais arrêter pour aujourd'hui, je dois partir. Demain, j'essaierai à nouveau, si tu es là ...

Merci pour ta patience.


Mi.