FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Claire.a73]

Bonjour,

J'ai une infection adware et pup/optionnal

J'ai fait un scan Mbam voici le lien cjoint du rapport :

http://cjoint.com/?3FBqgsoqZxD

[g3n-h@ckm@n]

bonjour il faut éviter d'ouvrir plusieurs sujets ^^

Laisser travailler l'outil même s'il parait bloqué

Désactiver temporairement l'antivirus , ou les agents de protection qu'il contient.
Télécharger Shortcut_Module ici :
http://www.aht.li/2159847/Shortcut_Module.exe
L' enregistrer sur le bureau, et le lancer



cliquer sur "Nettoyer" puis laisser tourner le scan :



Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...

Si l'outil détecte un proxy et qu'aucun n'a été installé et qu'il n'y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
  Il donnera un rapport en fin d’exécution , dans C:\Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)
le pc va redemarrer
Héberger le rapport sur http://cjoint.com puis fournir le lien obtenu

Note : En fin de désinfection (ET PAS AVANT) relancer l'outil et cliquer sur le pett "u" en bas à droite pour le desinstaller totalement

[Claire.a73]

Bonjour,

Désolée pour les deux posts, le pc a vraiment du mal à fonctionner correctement du coup, j'ai cru que ca n'avait pas marché !

Bref, je suis sur un autre pc là, je crois que j'ai un problème avec le logiciel, il a tourné toute la nuit, je suis bloquée à 20% mais j'ai bien le nombre d'éléments analysés qui augmentent. Est-ce normal ?

Bonne journée !

[g3n-h@ckm@n]

re

c'est corrigé retelecharge-le

[Claire.a73]

Bon, je l'ai retéléchargé et relancé, il se bloque à 20% et me dit qu'il manque une ligne (je crois). Ca dit un truc du genre "At line ... error..."

[g3n-h@ckm@n]

le message exact serait parfait

[Claire.a73]

Alors ça dit à 30% du scan dans la partie ApplD/Rescurse/HKLM

Titre du message : " AutoIt Error

Line 15925 File C:\\Users\Ninou\Desktop\Shortcut_Module.exe
Error : Variable used without being declared"

Voilà

Du coup, je dois partir tout le week end, je suis de retour lundi, donc je te libère !

[Claire.a73]

Du coup, mon festival est annulé, tempête donc je reste à l'abri, je suis dispo pour finir la désinfection ! Je reste en ligne ! ^^

[g3n-h@ckm@n]

ok

reessaie ca devrait être bon

[Claire.a73]

Ca recommence le meme message avec la ligne 15885

[g3n-h@ckm@n]

bizarre j'ai pas ca moi dans mes tests sur les machines... tu desactives bien tes protections ?
il verifie bien s'il est à jour ?

[Claire.a73]

Oui, j'ai meme le message windows qui me dit que je n'ai pas de protection sur le pc. Est-ce que je retente ?

[g3n-h@ckm@n]

je pense que tu peux retenter , retelecherge-le

[Claire.a73]

Bonjour !
J'étais pas là hier ! Du coup, ce matin j'ai refait le scan et il a encore bloqué mais là à la ligne 15927. Pourtant, j'ai bien regardé tout est désactivé, le proxy aussi ! Peut etre qu'il y a un fichier infecté qui bloque le processus ?
J'attend de tes nouvelles ! Bonne journée !

[g3n-h@ckm@n]

il s'est mis à jour quand tu l'as relancé ? tu as vu une fenetre "Version à jour" au lancement ?

[Claire.a73]

Oui, oui, ca dit que la version est à jour !

[Claire.a73]

Du coup, qu'est ce que je fais ?

[Claire.a73]

Salut,

Tiens moi au courant, je reste co toute la soirée !

A bientot

[g3n-h@ckm@n]

bonjour tu peux me dire exactement ce qu'on voit inscrit entre les crochets de la fenetre en haut à gauche sous la barre de progression quand ca bloque ?

[Claire.a73]

Bonjour,

Alors c'est ApplD/Rescurse/HKLM.

[g3n-h@ckm@n]

hello

retente ? (supprime avant lancienne version que tu as

http://www.aht.li/2159847/Shortcut_Module.exe

[Claire.a73]

Bonjour,

Alors j'ai fait ce que tu m'as dit je suis arrivée à 90% et ca bloque de nouveau. Je suis dans la partie [Shortcuts 2] : C\users\public\desktop

Le message est le suivant

"AutoIt Error

Line 20138 (File:" C:\Users\Ninou\Desktop\Shortcut_module.exe"

Error : Variable must be of type "object"



J'ai bien réussi à désactiver toutes les protections avant de le lancer. Voilà !

Je suis désolée que ça prenne autant de temps. Merci encore de ton aide ! J'espère qu'on va y arriver ! J'attends ta réponse, à plus tard !

[Claire.a73]

Re,

J'ai un souci, pour sortir de ton programme j'ai du faire reset, j'ai rallumé le pc mais je n'ai plus le bureau, c'est-à-dire que je lance le démarrage, j'ouvre la session et là ça me fait un écran noir. Du coup, j'ai fait Ctl+Alt+Suppr et j'ai réussi à avoir le gestionnaire de tache pour ouvrir les pages que je veux. CA me donne maintenant le fond d'écran mais je n'ai pas le menu démarrer, ni les icones du bureau.

Qu'est-ce que je peux faire pour réparer ça ?

[Claire.a73]

Bonjour,

J'espère que le week end a été bon pour toi ! Je suis dispo toute la journée. J'attends de tes nouvelles.

[g3n-h@ckm@n]

bonjour j'ai isolé le beug logiquement il devrait aller jusqu'au bout maintenant

http://www.aht.li/2159847/Shortcut_Module.exe

[Claire.a73]

Ca y est tout refonctionne correctement !

Voici le lien cjoint

http://cjoint.com/?3GhrBrvIg1D

[g3n-h@ckm@n]

bonjour désolé souci de santé

==

Désactive ton antivirus.

selectionne ce texte , puis CTRL + C

saveo naEot
pbccgoofngefdiaalhgeengboegmgdif
CoupExotiensIoan
aeanhjckelcikbobkhbadbbkpfcllffg
BItSaveiR
ophjpebfcpagonjplkjfmedafihjpipa
eio1_v@ihaxpdshpf.net
337Games
YoutubeAdblocker


relance shortcut_module puis clique sur le petit "S"
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le et relance un nettoyage il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu et relance le nettoyage

poste enfin le nouveau rapport

[Claire.a73]

Bonjour,

Ok il n'y a pas de soucis ! Ca arrive ! Il faut se remettre !

Voici le lien : http://cjoint.com/?3GkpWlElETf

[g3n-h@ckm@n]

re

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\*. /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\PSS\* /s
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\syswow64\Tasks\*
      %systemroot%\syswow64\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[Claire.a73]

Bonjour,

Voici les rapports :

http://upload.sosvirus.net/www/?a=di=iy5S7qwLRS


http://upload.sosvirus.net/www/?a=di=c2bKH0yT7c

[g3n-h@ckm@n]

hello

désinstalle McAfee Security Scan il sert à rien

==

par contre je sais pas comment tu te sers de ton pc mais tu t'es t'est completement réinfecté, tu peux relancer shortcut_module et faire un nettoyage après qu'il se soit mis à jour parce que là c'est un vrai carnage.

[Claire.a73]

Salut,
Je relance ! Désolée, je n'ai absolument rien fait, je ne m'en sers pas juste pour faire les manip'. Ce n'est pas mon Pc c'est celui d'une copine, je l'aide juste à faire la désinfection. J'utilise mon pc pour te répondre la plus part du temps sauf pour poster les rapports.

Je te donne le rapport dès que c'est fini.

[g3n-h@ckm@n]

ok , sérieux je sais pas ce qu elle fait alors mais....

par contre si un compte mail est synchronisé avec le navigateur faut le désynchroniser

[Claire.a73]

salut,
Voici le nouveau rapport.
J'ai vérifié il n'y a pas de compte gmail connecté.


http://cjoint.com/?3Glw1dw6pWz

a demain !

[g3n-h@ckm@n]

parfait tu referas OTL , avec les réglages , ensuite j'examinerai tes deux rapports , te rédigerai un script , et enfin nous pour faire la finalisation nettoyage des outils et sécurisation de la machine

[Claire.a73]

Salut,

Voici les liens des rapports OTL

http://www.cjoint.com/?3GpscNqlTTs

http://www.cjoint.com/?3GpsauqkBPf

[g3n-h@ckm@n]

désinstalle adobe reader 9 pas à jour

==

colle tout le contenu du cadre suivant en bas d'OTL et clique sur correction puis poste le rapport qui s'ouvrira au final via cjoint.com


:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}   
IE - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\shortcutff@gmail.com: C:\Users\NiNou\AppData\Roaming\Mozilla\Firefox\Profiles\sn41bvpx.default\extensions\shortcutff@gmail.com
FF - user.js - File not found
[2013/01/20 21:12:44 | 000,213,444 | ---- | M] () (No name found) -- C:\Users\NiNou\AppData\Roaming\Mozilla\Firefox\Profiles\0\extensions\torntv@torntv.com.xpi
CHR - homepage: http://istart.webssearches.com/?type=hp ... 6T9B29MY6X
O2 - BHO: (no name) - {11111111-1111-1111-1111-110511501105} - No CLSID value found.
O2 - BHO: (no name) - {11111111-1111-1111-1111-110511841188} - No CLSID value found.
O2 - BHO: (no name) - {146B9EF0-4EA1-16F2-7A8C-3EFD430FD47C} - No CLSID value found.
O2 - BHO: (no name) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - No CLSID value found.
O2 - BHO: (YoutubeAdblocker) - {440F7227-9D60-ABAB-00FE-2BF994F22023} - C:\Program Files\YoutubeAdblocker\CHgfVTJTV_.dll File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - No CLSID value found.
O2 - BHO: (JoNNiCoUpoon) - {BB048C6D-A78A-C7D7-92A6-B20414B8849A} - C:\ProgramData\JoNNiCoUpoon\aKlr.dll File not found
O2 - BHO: (no name) - {E0B3E801-6CD4-8C1A-A2D3-19B9E245382B} - No CLSID value found.
O2 - BHO: (no name) - {EF5625A3-37AB-4BDB-9875-2A3D91CD0DFD} - No CLSID value found.
O3 - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.
O3 - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 9.0\Reader\Rear_sl.exe (Adobe Systems Incorporated)
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 c6.cpl,CMICtrlWnd File not found
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Real\RealPlayer\update\realscheexe (RealNetworks, Inc.)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} http://www.ma-config.com/plugins/MaConfig_6_5_0_3.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_14)   
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 10.51.2)   
[1 C:\Windows\*.tmp files - C:\Windows\*.tmp - ]
[2014/07/05 12:20:37 | 000,000,956 | ---- | M] () -- C:\Users\NiNou\Application Data\Microsoft\Internet Explorer\Quick Launch\337 GAMES.lnk
[2013/03/20 18:46:30 | 000,000,000 | ---D | M] -- C:\0ca7af56480e416108a9b901f7
[2014/04/01 22:34:58 | 000,000,000 | ---D | M] -- C:\ProgramData\APN   
[2014/07/07 17:59:47 | 000,000,000 | ---D | M] -- C:\ProgramData\JoNNiCoUpoon
[2014/07/07 17:58:13 | 000,000,000 | ---D | M] -- C:\ProgramData\YoutubeAdblocker
[2014/06/03 21:05:33 | 000,000,000 | ---D | M] -- C:\Users\NiNou\AppData\Local\JFileManager   
[2014/05/25 08:32:02 | 000,000,000 | ---D | M] -- C:\Users\NiNou\AppData\Local\Chromatic Browser
[2014/06/03 21:06:21 | 000,000,000 | ---D | M] -- C:\Program Files\JFileManager
[2013/09/08 18:23:11 | 000,000,000 | ---D | M] -- C:\Program Files\Software   
[2014/06/28 13:46:44 | 000,000,000 | ---D | M] -- C:\Program Files\SW-Booster   
[2014/06/03 21:11:18 | 000,000,000 | ---D | M] -- C:\Program Files\Uninstaller
[2014/07/07 17:59:42 | 000,000,000 | ---D | M] -- C:\Program Files\YoutubeAdblocker
[2014/06/03 22:03:26 | 000,002,814 | ---- | M] () -- C:\Windows\system32\Tasks\APSnotifierPP2
[2014/06/03 22:03:27 | 000,002,814 | ---- | M] () -- C:\Windows\system32\Tasks\APSnotifierPP3
[2013/01/07 13:27:01 | 000,003,540 | ---- | M] () -- C:\Windows\system32\Tasks\CreateChoiceProcessTask


:reg
[-HKEY_CURRENT_USER\Software\APN PIP]   
[-HKEY_CURRENT_USER\Software\f6dddbe768b913]
[-HKEY_CURRENT_USER\Software\RegisteredApplicationsEx]   
[-HKEY_LOCAL_MACHINE\Software\BrowserChoice]   
[-HKEY_LOCAL_MACHINE\Software\f6dddbe768b913]
[-HKEY_LOCAL_MACHINE\Software\fst]   
[-HKEY_LOCAL_MACHINE\Software\JFileManager]
[-HKEY_LOCAL_MACHINE\Software\PIP]   
[-HKEY_LOCAL_MACHINE\Software\{5F189DF5-2D05-472B-9091-84D9848AE48B}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DMUninstaller]
[HKEY_USERS\S-1-5-21-3848814629-3168861968-1887467859-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\337Games]

:commands
[emptytemp]

[Claire.a73]

Bonjour,

Je t'envoie le rapport OTL http://www.cjoint.com/?3GsjD6aFFGa

Lors du redémarrage du PC, une fenêtre windows s'est ouverte pour me demander d'exécuter le programme "desktop". Voilà.
De plus, je suis obligée de passer par un autre PC pour pouvoir t'envoyer les messages. Le site me dit à chaque fois que le code de confirmation n'est pas le bon.


Bonne journée

[g3n-h@ckm@n]

menu demarrer/programmes/demarrage puis supprime le fichier desktop.ini

[Claire.a73]

Le fichier démarrage est vide