FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[centaurus]

Bonsoir à tous,

J'ai de nouveau besoin de vous pour une amie qui a son ordinateur complètement infecté.

Elle avait prêté son ordinateur à une personne italienne et la personne a chopé des tas de trucs indésirables. J'ai bien désinstallé quelques programmes et réinitialiser chrome car chrome était sur le compte de la personne et tout était en italien mais là j'ai beaucoup de mal pour la suite.

Je ne sais pas trop par ou commencer

Déjà pour arriver a venir ici et sur n'importe quelle page du web c'est dur. j'ai un truc qui m'ouvre n'importe quoi et m'affiche de fenêtres publicitaires, et m'ouvre de nouveaux onglets

SmartSaver3

Je passe Adw cleaner ou autre chose ?

merci pour votre aide

[centaurus]

J'ai un mal fou pour me servir de l'ordinateur qui n'en fait qu'à sa tête

Si vous pouviez m'aider ce serait gentil

Je voulais pour avancer le sujet poster les rapports que j'ai avec adwcleaner mais quand je veux joindre les fichiers on me dite que ça ne prends pas les fichiers txt

comment on fait svp ?

[g3n-h@ckm@n]

salut

• Désactive ton antivirus le temps du téléchargement et de l'utilisation.
• Télécharge AdsFix sur ton bureau.
  Note : Enregistrer votre travail avant de continuer !
• Lance AdsFix
• Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
• Inscrit ton pays
• Clique sur Nettoyer , après l'avoir débloqué dans les options
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\AdsFix_date_heure.txt sur SOSUpload puis donne le lien obtenu.

Aide:

• Tutoriel AdsFix - Option "Nettoyage"
• Désactiver temporairement sa protection résidentielle

[centaurus]

Bonjour et merci de prendre mon problème en compte.

L'ordinateur est sous Vista et je suis paumé.

J'ai désactivé Avast mais j'ai un problème pour windows défender

Dis moi j'essaye désespéramment avant de lancer AdsFix de désactiver windows défender mais quand je l'ouvre je ne vois rien qui me permette de le faire.

Il y a: accueil - Analyser - historique et outils

quand je clique sur outils il y a options et juste une case à décocher si on veut enlever le mode d’exécution en automatique.

Cela suffit si je désactive le pare feu windows ?

Dis moi ce que je fais avant de lancer AdsFix

[g3n-h@ckm@n]

re

dans outils , va à protection en temps reel et tu decoches la case

[centaurus]

Voilà le rapport AdsFix demandé


http://upload.sosvirus.net/www/?a=d&i=yoCKR2EEHd

[g3n-h@ckm@n]

salut

[*]Télécharge MalwareBytes
[*]Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"


[*]Clic sur Mettre à jour (à droite, au centre)


[*]Clic sur Examen (en haut)
[*]Sélectionne Examen "Menaces"
[*]Clic sur Examiner maintenant

[*]A la fin du scan clic sur Tout mettre en quarantaine !
[*]Clic sur Copier dans le Presse-papiers
[*]Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[centaurus]

Bonjour,

Voici le rapport de MalwareBytes demandé:

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 25/10/2014
Heure de l'examen: 09:59:44
Fichier journal: rapport malwarebytes.txt
Administrateur: Oui

Version: 2.00.3.1025
Base de données Malveillants: v2014.10.25.01
Base de données Rootkits: v2014.10.22.01
Licence: Gratuit
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Auto-protection: Désactivé(e)

Système d'exploitation: Windows Vista Service Pack 2
Processeur: x86
Système de fichiers: NTFS
Utilisateur: Philippe

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 293141
Temps écoulé: 15 min, 20 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristique: Activé(e)
PUP: Avertir
PUM: Activé(e)

Processus: 0
(Aucun élément malicieux detecté)

Modules: 0
(Aucun élément malicieux detecté)

Clés du Registre: 34
PUP.Optional.BrowseFox.A, HKLM\SOFTWARE\CLASSES\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}, Mis en quarantaine, [1fc67f99403c0f279bed3aa4e71b7d83],
PUP.Optional.Iminent.A, HKU\S-1-5-21-3510731025-2235595104-871807205-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}, Mis en quarantaine, [8065d8402d4f0f271fb67d600bf748b8],
PUP.Optional.Iminent.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}, Mis en quarantaine, [f4f1b761e696171f97acc11d5ca68779],
PUP.Optional.SupTab.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}, Mis en quarantaine, [d1145dbbe49890a6f985bbee808212ee],
PUP.Optional.SupTab.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\PREAPPROVED\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}, Mis en quarantaine, [d1145dbbe49890a6f985bbee808212ee],
PUP.Optional.SupTab.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\PREAPPROVED\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}, Mis en quarantaine, [d1145dbbe49890a6f985bbee808212ee],
Adware.GamePlayLab, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\PREAPPROVED\{11111111-1111-1111-1111-110011221158}, Mis en quarantaine, [b92c40d8730964d26f8b14a52bd7e21e],
PUP.Optional.Sanbreel.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\{9f93bd66-d3d2-427d-b37f-743603e2388d}Gt, Mis en quarantaine, [4d982fe927557bbbc21b200ecc37aa56],
PUP.Optional.SupTab.A, HKLM\SOFTWARE\supWPM, Mis en quarantaine, [5b8acb4d82fa42f46571eb3d49ba53ad],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\CLASSES\CrossriderApp0048922.BHO, Mis en quarantaine, [7570c355e894e551aec5a08fde25f40c],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\CLASSES\CrossriderApp0048922.BHO.1, Mis en quarantaine, [a342f6220b71fd39cba89798897a42be],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\CLASSES\CrossriderApp0048922.Sandbox, Mis en quarantaine, [8d589880116bc76f1360b27d27dc827e],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\CLASSES\CrossriderApp0048922.Sandbox.1, Mis en quarantaine, [c91ca870ed8f53e3571c30ffcd360cf4],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\CLASSES\CrossriderApp0059568.BHO, Mis en quarantaine, [de07ac6caecec76f284b9d92fd06b24e],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\CLASSES\CrossriderApp0059568.BHO.1, Mis en quarantaine, [70751efa4933f93d52211e11ee1560a0],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\CLASSES\CrossriderApp0059568.Sandbox, Mis en quarantaine, [eef7a5735c20a5912f44cc63ed1651af],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\CLASSES\CrossriderApp0059568.Sandbox.1, Mis en quarantaine, [697c0a0e0775979f8ce7f53a49ba669a],
PUP.Optional.PCPerformer, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\PCPerformer_is1, Mis en quarantaine, [f2f33edab6c6ab8b2e0588a303002dd3],
PUP.Optional.GlobalUpdate.A, HKLM\SOFTWARE\MOZILLAPLUGINS\@staging.google.com/globalUpdate Update;version=4, Mis en quarantaine, [648175a3d5a7fe381da09100ee16ab55],
PUP.Optional.SupTab.A, HKLM\SOFTWARE\SUPTAB, Mis en quarantaine, [974e62b66a120b2b924353d55ba8e020],
PUP.Optional.AdvancedSystemProtector.A, HKLM\SOFTWARE\SYSTWEAK\Advanced System Protector, Mis en quarantaine, [b72e5dbb205c57df27570622e81beb15],
PUP.Optional.SystemSpeedup, HKLM\SOFTWARE\SYSTWEAK\ssd, Mis en quarantaine, [06df0c0cb3c90b2b9fa25dd6f50e44bc],
PUP.Optional.Complitly.A, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\dlfienamagdnkekbbbocojppncdambda, Mis en quarantaine, [6283ea2e29537bbb2f58112e986b21df],
PUP.Optional.SmartSaver.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\APPDATALOW\SOFTWARE\SmartSaver+ 3, Mis en quarantaine, [e3024ecad2aa3afc177197bb06fd47b9],
PUP.Optional.CrossRider.A, HKU\S-1-5-21-3510731025-2235595104-871807205-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\APPDATALOW\SOFTWARE\Crossrider, Mis en quarantaine, [de07997fb2cab97d49aa9ae862a220e0],
PUP.Optional.AdvancedSystemProtector.A, HKU\S-1-5-21-3510731025-2235595104-871807205-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SYSTWEAK\Advanced System Protector, Mis en quarantaine, [9e479781b7c5b482156adf494eb5df21],
PUP.Optional.SystemSpeedup, HKU\S-1-5-21-3510731025-2235595104-871807205-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SYSTWEAK\ssd, Mis en quarantaine, [6c799e7af18bcb6b76cab77caf54e61a],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{11111111-1111-1111-1111-110411891122}, Mis en quarantaine, [ce17de3ad1ab47ef710e9a98c73e44bc],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\CLASSES\CLSID\{11111111-1111-1111-1111-110411891122}, Mis en quarantaine, [ce17de3ad1ab47ef710e9a98c73e44bc],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\CLASSES\TYPELIB\{44444444-4444-4444-4444-440444894422}, Mis en quarantaine, [ce17de3ad1ab47ef710e9a98c73e44bc],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\CLASSES\INTERFACE\{66666666-6666-6666-6666-660466896622}, Mis en quarantaine, [ce17de3ad1ab47ef710e9a98c73e44bc],
PUP.Optional.CrossRider.A, HKU\S-1-5-21-3510731025-2235595104-871807205-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{11111111-1111-1111-1111-110411891122}, Mis en quarantaine, [ce17de3ad1ab47ef710e9a98c73e44bc],
PUP.Optional.CrossRider.A, HKU\S-1-5-21-3510731025-2235595104-871807205-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{11111111-1111-1111-1111-110411891122}, Mis en quarantaine, [ce17de3ad1ab47ef710e9a98c73e44bc],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{11111111-1111-1111-1111-110511951168}, Mis en quarantaine, [aa3bb068bcc03303304f54de45c0cf31],

Valeurs du Registre: 2
PUP.Optional.CertifiedToolBar.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHURI|(Default), http://search.certified-toolbar.com?si= ... 577EF&q=%s, Mis en quarantaine, [489d1800077596a0669de35432d131cf]
PUP.Optional.SupTab.A, HKLM\SOFTWARE\SUPTAB|ptid, cor, Mis en quarantaine, [974e62b66a120b2b924353d55ba8e020]

Données du Registre: 1
PUP.Optional.SimplyTech.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\ABOUTURLS|newtab, %appdata%\SimplyTech\home\home.htm, Bon: (www.google.com), Mauvais: (%appdata%\SimplyTech\home\home.htm),Remplacé,[f6effe1ac9b38baba7d6c25f53b27888]

Dossiers: 0
(Aucun élément malicieux detecté)

Fichiers: 16
PUP.Optional.OutBrowse, C:\Users\Philippe\Téléchargements\Odin_v3.09.exe, Mis en quarantaine, [1bca1cfc6f0dbf77d2890f8cbb467d83],
PUP.Optional.OutBrowse, C:\Users\Philippe\Téléchargements\Odin_v3.09.zip, Mis en quarantaine, [f2f3e236ee8e280e0c4fdebde21fbd43],
PUP.Optional.BundleInstaller.A, C:\Users\Philippe\Téléchargements\Setup.exe, Mis en quarantaine, [1fc653c50b7179bd4a1fa9a68b750ef2],
PUP.Optional.InstallCore, C:\Users\Philippe\Téléchargements\winrar_setup.exe, Mis en quarantaine, [d90c36e287f56bcb705b9e6f34d104fc],
PUP.Optional.Malavida, C:\Users\Philippe\Téléchargements\download-android.exe, Mis en quarantaine, [c61f8c8c8cf0d5613e55832125dc27d9],
PUP.Optional.Sanbreel.A, C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys, Mis en quarantaine, [578ef42498e494a2b4e2031f768dc43c],
PUP.Optional.Sanbreel.A, C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys, Mis en quarantaine, [af360b0dfd7f64d22373a9793fc4669a],
PUP.Optional.Iminent.A, C:\Users\Philippe\AppData\Roaming\Mozilla\Firefox\Profiles\4r12u97e.default\extensions\firefoxmini@go.im.xpi, Mis en quarantaine, [984d70a896e61e188bf198922bd88a76],
PUP.Optional.Sanbreel.A, C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys, Mis en quarantaine, [a63fbb5d0f6d092d35a851dd857e37c9],
PUP.Optional.Sanbreel.A, C:\Windows\System32\drivers\{9f93bd66-d3d2-427d-b37f-743603e2388d}Gt.sys, Mis en quarantaine, [4d982fe927557bbbc21b200ecc37aa56],
PUP.Optional.Iminent.A, C:\Windows\System32\Tasks\FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl, Mis en quarantaine, [8b5adc3c05776ec83c92b3828b787b85],
PUP.Optional.SelectNGo.A, C:\Users\Philippe\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.select-n-go00.select-n-go.com_0.localstorage, Mis en quarantaine, [85600c0c176547efb88a69d4ff04a759],
PUP.Optional.SelectNGo.A, C:\Users\Philippe\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.select-n-go00.select-n-go.com_0.localstorage-journal, Mis en quarantaine, [a5406fa96c1061d5c87aa09d01023dc3],
PUP.Optional.LiveLyrics.A, C:\Users\Philippe\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_static.livelyrics00.live-lyrics.com_0.localstorage, Mis en quarantaine, [08dd36e2562655e1226e1727986bb749],
PUP.Optional.LiveLyrics.A, C:\Users\Philippe\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_static.livelyrics00.live-lyrics.com_0.localstorage-journal, Mis en quarantaine, [7d6842d6c5b7201691ff0a3422e1619f],
PUP.Optional.Iminent.A, C:\Users\Philippe\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_igdhbblpcellaljokkpfhcjlagemhgjl_0.localstorage, Mis en quarantaine, [0ed713055824f93d0638ce7439caac54],

Secteurs physiques: 0
(Aucun élément malicieux detecté)


(end)

[g3n-h@ckm@n]

tu as téléchargé et installé des programmes entre-temps pendant la desinfection ?

[centaurus]

non rien du tout, j'ai fait l'examen selon tes consignes c'est tout.

examiner, mise en quarantaine et exporter le fichier que j'ai mis sur le biureau et copier - collé

[g3n-h@ckm@n]

ah...... :/

on fait un diag voir ce qu'il pourrait rester de nefaste

• désactive ton antivirus le temps du scan
• Télécharge quickDiag ici : http://www.telecharger.sosvirus.net/download/quickdiag/
• lance-le
  
  
• clique sur "Quick" puis une fois terminé :
• heberge le rapport sur http://upload.sosvirus.net
• donne le lien obtenu dans ta prochaine réponse

note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt

[centaurus]

voici le rapport :

http://upload.sosvirus.net/www/?a=d&i=8WF21aeban

[g3n-h@ckm@n]

tu serais prié de ne pas faire de fantaisies avec les liens et de les laisser cliquables stp

[centaurus]

Je ne comprends pas trop ce que tu veux dire. j'ai pris le lien et je l'ai mis juste en caractère gras pour le rendre plus visible.

je le remets tel que je l'ai pris cette fois de SosUpload

J'espère que cela te va autrement je ne sais pas comment faire


http://upload.sosvirus.net/www/?a=d&i=hEGm1xj7SV

[g3n-h@ckm@n]

tu le colles tel quel , sans mettre en gras, ni coloré , tel quel

rends-toi sur https://www.virustotal.com puis fais analyser ce fichier :

C:\QuickDiag\MBR.Bin

une fois l'analyse des antivirus terminée , récupère le lien de la page en haut puis colle-le ici qui je puisse m'y rendre pour consulter

[centaurus]

Bonjour

Merci pour le conseil de ne pas enjoliver les liens. Comme quoi on croit bien faire et on fait les choses de travers. Je sais que maintenant je mettrai les liens tel quel.

J'espère avoir bien suivi ce que tu m'a dis.

Voici le lien qui était en haut à la fin de l'analyse

https://www.virustotal.com/fr/file/b178 ... 414326740/

[g3n-h@ckm@n]

desactive tes protections

telecharge HDDFix ici : http://www.telecharger.sosvirus.net/download/hddfix/

lance-le clique sur Repair , puis "Fixmbr"

selectionne Vista / 32 bits, puis Drive number 0 (zéro)

ensuite redemarre la machine puis refais un quickdiag

[centaurus]

Voilà ce que tu m'as demandé

http://upload.sosvirus.net/www/?a=d&i=2rPIwtHVQB

[g3n-h@ckm@n]

impec

on a récupéré un secteur d'amorcage digne de confiance

des soucis persistent ?

[centaurus]

Apparemment tout est rentré dans l'ordre et je te remercie.

[g3n-h@ckm@n]

re

le ménage final : http://gen-hackman.purforum.com/t50-fin-de-desinfection

[centaurus]

Bonjour,

Je commence le ménage final. voici le rapport de delfix

# DelFix v10.8 - Rapport créé le 29/10/2014 à 10:35:50
# Mis à jour le 29/07/2014 par Xplode
# Nom d'utilisateur : Philippe - PC-DE-PHILIPPE
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\AdsFix
Supprimé : C:\AdsFix_24_10_2014_18_42_22.txt
Supprimée : HKCU\Software\AdsFix
Supprimée : HKLM\SOFTWARE\AdsFix
Supprimée : HKLM\SOFTWARE\AdwCleaner

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

[centaurus]

J'ai suivi tout le tutoriel.

J'ai fait le nettoyage avec Ccleaner et je viens de lancer la vérification du disque mais j'ai un gros problème.

Je n'ai pas le câble d'alimentation et je pense que je n'aurai pas assez de batterie pour aller jusqu'au bout.

J'ai vu juste avant que j'avais 40 minutes et je n'en suis qu'à 16 %.

Donc l'ordinateur va s'éteindre . que vas-t-il se passer quand je vais le rallumer la prochaine fois ?

J'espère que je n'ai pas fais quelque chose d'irrémédiable.

J'attends avec angoisse ta réponse.

(je me sers de mon ordinateur fixe perso pour t'envoyer cet appel au secours)

[g3n-h@ckm@n]

re

il continuera peut-être son travail avant de demarrer windows

[centaurus]

Bonjour,

Tu avais raison, quand j'ai remis l'ordinateur en marche, il a continué son travail.

Cela ne m'a rien signalé.

Je pensais qu'il y aurait marqué quelque chose comme quoi c'était bon à la fin mais aucun message.
Peut-être est-ce normal ?

Une fois le scan terminé, j'ai refais un coup de Ccleaner et nettoyé le registre.

Je pense que tu peux clore le sujet, tout à l'ai nickel. Juste une petite question.

Sur l'ordinateur est installé la version gratuite d'avast. Est-ce bien ou je dois lui conseiller autre chose ?

Merci encore pour ton aide précieuse

[g3n-h@ckm@n]

ok oui garde avast c'est sufisant

bonne route

[centaurus]

Bonjour


Merci de m'avoir aidé et conseillé