FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Neroche]

bonjour,

Je vous laisse un lien vers un rapport zhpdiag car il y a quelques trucs à supprimer apparemment, mais je ne sais pas comment me servir de zhpdiag ou zhpfix.
Je vous laisse me guider par la suite.
(ps: cacaoweb n'est pas un probleme).

lien : http://cjoint.com/data/0FzcOLCQ4uj.htm

Merci de votre réponse.

[g3n-h@ckm@n]

salut


Laisser travailler l'outil même s'il parait bloqué

Désactiver temporairement l'antivirus , ou les agents de protection qu'il contient.
Télécharger Shortcut_Module ici :
http://www.aht.li/2159847/Shortcut_Module.exe
L' enregistrer sur le bureau, et le lancer



cliquer sur "Nettoyer" puis laisser tourner le scan :



Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...

Si l'outil détecte un proxy et qu'aucun n'a été installé et qu'il n'y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
Il donnera un rapport en fin d’exécution , dans C:\Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)
le pc va redemarrer
Héberger le rapport sur http://cjoint.com puis fournir le lien obtenu

Note : En fin de désinfection (ET PAS AVANT) relancer l'outil et cliquer sur le pett "u" en bas à droite pour le desinstaller totalement

[Neroche]

apres un long scan, voici le lien pour le rapport shortcut :

http://cjoint.com/?3Fzv3WBsAUi

que faire ensuite ?

(merci à vous de vos réponse)

[g3n-h@ckm@n]

c'est un pc d'entreprise ?

[Neroche]

Non du tout, Pc perso. pourquoi ?

[g3n-h@ckm@n]

ok simple question ^^

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[Neroche]

re,

j'ai fais le scan, cliqué sur tout mettre en quarantaine , mais apparemment il a tout supprimé, enfin il me met "Fin du nettoyage des éléments.
Consulter le journal pour plus de detail."

bref, voici le rapport :

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Date de l'examen: 26/06/2014
Heure de l'examen: 23:07:50
Fichier journal:
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.06.26.09
Base de données Rootkits: v2014.06.23.02
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 8.1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Asus

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 286966
Temps écoulé: 20 min, 8 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 4
PUP.Optional.BProtector, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|BrowserMngr Start Page, http://www.google.com/, Supprimé-au-redémarrage, [99789be2512a2016d2acb73c49baf907]
PUP.Optional.BProtector, HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|BrowserMngr Start Page, http://www.google.com/, Supprimé-au-redémarrage, [e52ce79698e393a390eec2310ff40af6]
PUP.Optional.BProtector, HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|BrowserMngr Start Page, http://www.google.com/, Supprimé-au-redémarrage, [16fb3a43e8932511720c49aa47bcff01]
PUP.Optional.BProtector, HKU\S-1-5-21-3129645042-3731393207-3394136791-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|BrowserMngr Start Page, http://www.google.com/, Supprimé-au-redémarrage, [4ec3d3aa384337ff5529ec07669d35cb]

Données du Registre: 0
(No malicious items detected)

Dossiers: 1
PUP.Optional.CrossRider.A, C:\Users\Asus\AppData\Local\Updater12767, Mis en quarantaine, [2de4621b334883b35f7290054db59e62],

Fichiers: 1
PUP.Optional.CrossRider.A, C:\Users\Asus\AppData\Local\Updater12767\Updater12767.exe, Mis en quarantaine, [2de4621b334883b35f7290054db59e62],

Secteurs physiques: 0
(No malicious items detected)


(end)

[g3n-h@ckm@n]

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\*. /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[Neroche]

rapport otl :

http://upload.sosvirus.net/www/?a=di=xrWUhD3eo5

extrat : http://upload.sosvirus.net/www/?a=di=4wpWfXsvlS

after this?


(je risque de ne pas répondre durant ce weekend, je serai en festival, mais je reviens la semaine prochaine)

[g3n-h@ckm@n]

Bonjour je vois qu'à peine les infections supprimées , tu les réinstalles de ton plein gré derrière ( c/f cacaoweb )

soit tu attends d'avoir fini la désinfection pour réinstaller tes programmes , soit mon aide s'arrête là , j'ai pas envie de tourner en rond parce que les programmes que tu utilises sont pourris.

[Neroche]

heu j'ai rien réinstallé du tout... et si ya que cacaoweb qui te dérange, moi pas... je l'ai bloqué dans le parefeu, donc il est pas dangereux...(mais je l'ai pas réinstallé pour autant dsl!)
c'est quoi les autres programmes pourris alors ?

[g3n-h@ckm@n]

Salut

refais un nettoyage avec Shortcut_Module alors après avoir bien désactivé tes protections, tu verras ce qu'il va virer ^^

[Neroche]

ok, mais comme ça prend du temps, je vais le faire debut de semaine prochaine, là je suis un peu occupé, je te tiens au courant.

oui j'avais vu qu'au 1er nettoyage de shortcut module, il avait trouvé 110 et quelques infections... mais j'ai pas vu ce que c'était exactement, c'est quel genre de truc ? et causé par quoi surtout?

[g3n-h@ckm@n]

bah c'est un outil de recherche approfondi de tout ce qui peut être Adwares / publiciels / etc....

[Neroche]

ok, efficace en tout cas je retiens, je refais le scan debut de la semaine prochaine alors!

[g3n-h@ckm@n]

pas de soucis

[Neroche]

re!

j'ai fais le 2eme scan donc, voici le lien du rapport shortcut module :

http://cjoint.com/?0GcvYTJsbWh


que dit le rapport alors ?

merci!

[Neroche]

re!

j'ai fais le 2eme scan donc, voici le lien du rapport shortcut module :

http://cjoint.com/?0GcvYTJsbWh


que dit le rapport alors ?

Au fait, ya des fichiers/dossiers qui n'étaient pas là avant et qui sont apparus dans C: , des fichiers comme BOOTNXT, SecurityScanner.dll, PhysicalDisk0_MBR.bin , et des dossiers comme System Volume Information, temp, $Recycle.Bin, Boot, un raccourcis document and settings est apparu aussi, et le dossier Utilisateur a été renommé en User apparemment... Des trucs à dire là dessus? Simple curiosité ^^

merci!

[g3n-h@ckm@n]

re

tu as un compte mail synchronisé avec un navigateur ?

[Neroche]

je pense pas... enfin sur windows 8, ya une appli mail qui est toujours connecté à ma boite mail principale, mais ya aucun rapport avec mon navigateur je pense...

pourquoi ?

[g3n-h@ckm@n]

quand tu ouvres un navigateur , tu as directement la page google , et en haut à droite , ca dit pas que tu es connectée ?

[Neroche]

ouai ça met google direct

[g3n-h@ckm@n]

ok refais OTL avec les consignes comme precedemment

[Neroche]

rappport otl : http://cjoint.com/?DGeaZKjfRIc

rapport extras : http://cjoint.com/?DGea0GLPCiu

[g3n-h@ckm@n]

Fais analyser le(s) fichier(s) suivants sur Virustotal :

http://www.virustotal.com/index.html

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\SysWOW64\GSService.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

[Neroche]

https://www.virustotal.com/fr/file/4f0e ... 404429725/


c'est bien ça?

[g3n-h@ckm@n]

heu....si tu peux arrêter d'installer des infections pendant la désinfection ca m'arrangera bien !

[Neroche]

mais expliques au moins... j'ai rien installé de nouveau, rien téléchargé de dangereux, à mon avis! ya quoi de nouveau ?

[g3n-h@ckm@n]

tu viens juste de réinstaller cacaoweb

[Neroche]

alors cacaoweb : juste apres le scan de shortcut module, une icone cacaoweb est apparue sur le bureau (sans que je fasse quoi ce que ce soit).

et apres le scan otl, ainsi que le scan du fichier GSService.exe, j'ai pas réinstallé cacaoweb, et je ne suis pas allé sur papystreaming.

Bref, il s'est réinstallé tout seul, s'il a deja été désistallé... mais en aucun cas j'y ai touché à ce cacaoweb!

Mais si il n'y a que ça comme infection, c'est good. Parce que, c'est quoi le soucis avec cacaoweb? il peut envoyer des informations sur mon pc ou je ne sais quoi? mais si je bloque cacaoweb dans le parefeu (uniquement le flux sortant) il n'y pas de soucis?

Ou alors expliques concretement ce qu'il fait de plus sur mon pc...

thx

[g3n-h@ckm@n]

c'est reconnu comme ramasse-mer$e , passe le fichier qu'il y a sur ton bureau sur virustotal tu devrais avoir une jolie surprise ^^

il a été réinstallé à :

[2014/07/04 00:21:46 | 000,000,000 | ---D | M] -- C:\Users\Asus\AppData\Roaming\cacaoweb

[Neroche]

réinstallé tout seul apparemment ^^

apres je l'ai telechargé pour mater des series sur papystreaming que j'ai pas envie de télécharger... et sur papystreaming la qualité est potable, bien meilleure que sur les autres sites, et ça charge assez rapidement, enfin ça depends des fois, mais c'est pour ça que j'ai ce cacaoweb..

apres si tu connais un site de streaming avec une qualité assez potable et qui a pas mal de séries, jsuis preneur!

[g3n-h@ckm@n]

les sites de streaming sont des sites à problèmes. rootkit/exploits/injecteurs, etc....

tu peux faire le ménage dans ce cas :

http://gen-hackman.purforum.com/t50-fin-de-desinfection

[Neroche]

ok ! merci de tes conseils !

[g3n-h@ckm@n]

bonne route


Si vous aussi êtes infectés ou avez des problèmes similaires merci d'ouvrir un nouveau sujet en cliquant sur ce lien : http://www.forum-entraide-informatique. ... e=newtopic