FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[gus87.]

Bonsoir
Comme bcp ici, je suis infecté par awesomehp
après plusieurs essais infructueux pour m'en débarrasser , je me confie a vous pour obtenir de l'aide

je vous envoie donc le rapport adw cleaner : http://cjoint.com/?DAFwGZ4Oixk

merci de l'aide que vous pourrez m'apporter , je suis vraiment coincé !!   

[gus87]

et le rapport ZHPDiag :
http://cjoint.com/14jv/DAFwWq3l0om.htm

merci

[g3n-h@ckm@n]

salut

Désactivez temporairement l'antivirus , ou les agents de protection qu'il contient.

Téléchargez Shortcut_Module ici :

http://www.telecharger.sosvirus.net/gen ... Module.exe

Enregistrez-le sur le bureau, et lancez-le , cliquez sur "Nettoyer" puis laisser tourner le scan :



Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...

Il donnera un rapport en fin d’exécution , dans C:\Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)

le pc va redemarrer.

Copier/coller le contenu du rapport sus-cité sur le forum où vous vous faites aider.

[gus87]

Pour commencer, merci de ton aide !
J’apprécie vraiment que quelqu'un donne de son temps pour aider les autres, c'est de plus en plus rare !!!

Voici donc le rapport de shortcut module :

¤¤¤¤¤¤¤¤¤¤ | Shortcut_Module | g3n-h@ckm@n | 31.01.2014.2

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤ - Start 10:16:43 - 01/02/2014

Mis à jour le : 01/02/2014 | 01.20 par g3n-h@ckm@n

Contact : http://www.sosvirus.net

Boot mode : Normal

Système : Windows 8 (64 bits) Core

Mémoire RAM = Total (MB) : 8341 | Libre (MB) : 6836
Pagefile = Total (MB) : 9586 | Libre (MB) : 7863
Virtuelle = Total (MB) : 4194 | Libre (MB) : 4003

¤¤¤¤¤¤¤¤¤¤ | Mises à jour Windows

Aucune mise à jour détectée !!!


(984) -- nvvsvc.exe
(1412) -- ClassicShellService.exe
(1796) -- PluginService.exe
(1984) -- spoolsv.exe
(1676) -- coreServiceShell.exe
(1960) -- uiWatchDog.exe
(1992) -- armsvc.exe
(2056) -- coreFrameworkHost.exe
(2252) -- atkexComSvc.exe
(2744) -- AMSP_LogServer.exe
(2880) -- aaHMSvc.exe
(2940) -- AsSysCtrlService.exe
(3020) -- dasHost.exe
(3036) -- DKService.exe
(1760) -- HeciServer.exe
(2624) -- Jhi_service.exe
(1144) -- mbamscheduler.exe
(3932) -- SearchIndexer.exe
(5328) -- FABS.exe
(5556) -- LMS.exe
(3532) -- NASvc.exe
(6004) -- UNS.exe
(4080) -- wmpnetwk.exe
(4724) -- LogonUI.exe
(44) -- explorer.exe
(3836) -- nvxdsync.exe
(5352) -- nvvsvc.exe
(2016) -- ALU.exe
(4372) -- taskhostex.exe
(3500) -- AsRoutineController.exe
(3672) -- ClassicStartMenu.exe
(3576) -- mbamgui.exe
(3476) -- RtkNGUI64.exe
(1892) -- RAVBg64.exe
(1772) -- SSScheduler.exe
(4732) -- EPUHelp.exe
(3776) -- PDVD10Serv.exe
(5404) -- AvastUI.exe
(3092) -- firefox.exe
(5848) -- plugin-container.exe
(772) -- FlashPlayerPlugin_11_9_900_170.exe
(1372) -- SearchProtocolHost.exe

¤¤¤¤¤¤¤¤¤¤ | Détournements de raccourcis

Désinfecté : C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk : C:\Program Files (x86)\Mozilla Firefox\firefox.exe (hxxp://www.awesomehp.com/?type=scts=1391199655 ... 432WALGGSX)
Désinfecté : C:\Users\Guillaume\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk : C:\Program Files\Internet Explorer\iexplore.exe (hxxp://www.awesomehp.com/?type=scts=1391199655 ... 432WALGGSX)
Désinfecté : C:\Users\Guillaume\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk : C:\Program Files (x86)\Mozilla Firefox\firefox.exe (hxxp://www.awesomehp.com/?type=scts=1391199655 ... 432WALGGSX)
Désinfecté : C:\Users\Guillaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk : C:\Program Files\Internet Explorer\iexplore.exe (hxxp://www.awesomehp.com/?type=scts=1391199655 ... 432WALGGSX)
Désinfecté : C:\Users\Public\Desktop\Mozilla Firefox.lnk : C:\Program Files (x86)\Mozilla Firefox\firefox.exe (hxxp://www.awesomehp.com/?type=scts=1391199655 ... 432WALGGSX)

¤¤¤¤¤¤¤¤¤¤ | Détournement internet Explorer

Réparé : [HKU\S-1-5-21-3111158669-829662478-110102891-1001\Software\Microsoft\Internet Explorer\Main]|[Start Page] : http://www.google.fr/ - http://www.google.com/
Réparé : [HKU\S-1-5-21-3111158669-829662478-110102891-1001\Software\Microsoft\Internet Explorer\Main]|[Local Page] : C:\Windows\system32\blank.htm - C:\Windows\SysWOW64\blank.htm
Réparé : [HKU\S-1-5-21-3111158669-829662478-110102891-1001\Software\Microsoft\Internet Explorer\Main]|[Search Page] : http://go.microsoft.com/fwlink/?LinkId=54896 - http://www.microsoft.com/isapi/redir.dl ... r=iesearch
Réparé : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Start Page] : http://www.awesomehp.com/?type=hpts=139 ... 432WALGGSX - http://go.microsoft.com/fwlink/?LinkId=69157
Réparé : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Default_Search_URL] : http://www.awesomehp.com/web/?type=dsts ... earchTerms} - http://go.microsoft.com/fwlink/?LinkId=54896
Réparé : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Default_Page_URL] : http://www.awesomehp.com/?type=hpts=139 ... 432WALGGSX - http://go.microsoft.com/fwlink/?LinkId=69157
Réparé : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Search Page] : http://www.awesomehp.com/web/?type=dsts ... earchTerms} - http://go.microsoft.com/fwlink/?LinkId=54896
Réparé : [HKLM64\Software\Microsoft\Internet Explorer\Main]|[Start Page] : http://www.awesomehp.com/?type=hpts=139 ... 432WALGGSX - http://go.microsoft.com/fwlink/?LinkId=69157
Réparé : [HKLM64\Software\Microsoft\Internet Explorer\Main]|[Local Page] : C:\Windows\System32\blank.htm - C:\Windows\SysWOW64\blank.htm
Réparé : [HKLM64\Software\Microsoft\Internet Explorer\Main]|[Default_Search_URL] : http://www.awesomehp.com/web/?type=dsts ... earchTerms} - http://go.microsoft.com/fwlink/?LinkId=54896
Réparé : [HKLM64\Software\Microsoft\Internet Explorer\Main]|[Default_Page_URL] : http://www.awesomehp.com/?type=hpts=139 ... 432WALGGSX - http://go.microsoft.com/fwlink/?LinkId=69157
Réparé : [HKLM64\Software\Microsoft\Internet Explorer\Main]|[Search Page] : http://www.awesomehp.com/web/?type=dsts ... earchTerms} - http://go.microsoft.com/fwlink/?LinkId=54896
Réparé : [HKU\S-1-5-21-3111158669-829662478-110102891-1001\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[WarnonZoneCrossing] : 0 - 1

¤¤¤¤¤¤¤¤¤¤ | Détournement Google Chrome

[Guillaume] Remis a zéro avec succès : SearchURL
[Guillaume] Remis a zéro avec succès : Preferences

¤¤¤¤¤¤¤¤¤¤ | Détournement Firefox


¤¤¤¤¤¤¤¤¤¤ | Détournement des clés StartMenuInternet

Réparé : [HKLM\Software\Clients\StartMenuInternet\Firefox.exe\shell\open\command] : "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://www.awesomehp.com/?type=scts=139 ... 432WALGGSX - "C:\Program Files (x86)\Mozilla Firefox\Firefox.exe"
Réparé : [HKLM\Software\Clients\StartMenuInternet\IExplore.exe\shell\open\command] : C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=scts=139 ... 432WALGGSX - "C:\Program Files (x86)\Internet Explorer\iexplore.exe"

¤¤¤¤¤¤¤¤¤¤ | Détournement Javascript


¤¤¤¤¤¤¤¤¤¤ | Fichiers temporaires

[All Users] Fichiers temporaires Supprimés : 0 Ko
[Default User] Fichiers temporaires Supprimés : 0 Ko
[Default] Fichiers temporaires Supprimés : 0 Ko
[Public] Fichiers temporaires Supprimés : 0 Ko
[Guillaume] Fichiers temporaires Supprimés : 7178 Ko


¤¤¤¤¤¤¤¤¤¤ |EOF| ¤¤¤¤¤¤¤¤¤¤



  MERCI ENCORE  

[g3n-h@ckm@n]

toujours là awesomemachin ?

[gus87]

Non il n'est plus la, par contre quand j'ouvre un nouvel onglet, c'est lightning speed dial qui s'ouvre
De plus mon pc rame beaucoup !

Merci, déjà on semble s’être débarrassé de awesomhp     

[g3n-h@ckm@n]

oui nous n'avons pas fini ^^

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[gus87]

De plus j'ai des fenêtres de pub qui s'ouvrent de façon intempestives, du style : Adds / Articles by PlusHD.9 entre autre

[gus87]

ok, je m’empresse de faire ce que tu me dit, a toute...

[gus87]

par contre tu me dis :
Coche/Sélectionne les cases comme l'image ci dessous

mais je n'ai pas d'image 

[gus87]

OLT.txt :
http://cjoint.com/?DBboIfpYWpS

Extra.txt :
http://cjoint.com/?DBboJIRfbPS

[g3n-h@ckm@n]

Fais analyser le(s) fichier(s) suivants sur Virustotal :

http://www.virustotal.com/index.html

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\ProgramData\IePluginService\PluginService.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

[gus87]

https://www.virustotal.com/fr/file/6127 ... 391290529/

[g3n-h@ckm@n]

re

il me laisse perplexe ce fichier

Télécharge ici : http://fr.malwarebytes.org/

Clique sur Télécharger

Installe le :


choisis bien » francais «
ne modifie pas les paramètres d’installation
met-le à jour
Ne sélectionne pas la version d’essai Pro


Suis scrupuleusement ces consignes :


Ferme toutes tes applications en cours
Exécute Malwarebyte’s .
Fais un examen « Complet »


Laisse le programme travailler ( et ne rien faire d’autre avec l’ordinateur durant le scan ).

A la fin, clique sur « Afficher les résultats »

Vérifie que tous les objets infectés soient validés, puis clique sur « suppression »

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l’onglet « rapports/logs« de Malwarebytes, le dernier en date : mbamlog.xx.xx..Etc….)

[gus87]

Malwarebytes Anti-Malware (PRO) 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2014.02.02.01

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16750
Guillaume :: FAMILLE [administrateur]

Protection: Désactivé

02/02/2014 08:55:04
mbam-log-2014-02-02 (08-55-04).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 378131
Temps écoulé: 27 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

[gus87]

et j'ai toujours beaucoup de pub qui s'ouvrent en permanence et un pc qui rame bcp

[g3n-h@ckm@n]

• Télécharge Adwcleaner (de Xplode) sur ton Bureau !
• Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista,sinon double-clique pour XP
• Choisis l'option Scanner
• Choisis l'option Nettoyer
• Accepte l'avertissement en cliquant sur OK
  
  
• Accepte les avertissements/informations en cliquant sur OK
• Copie et Colle le contenu du rapport qui apparaît au redémarrage du PC

[gus87]

# AdwCleaner v3.018 - Rapport créé le 03/02/2014 à 00:44:39
# Mis à jour le 28/01/2014 par Xplode
# Système d'exploitation : Windows 8 (64 bits)
# Nom d'utilisateur : Guillaume -

Exécuté depuis : C:\Users\Guillaume\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16537


-\\ Mozilla Firefox v26.0 (fr)

[ Fichier : C:\Users\Guillaume\AppData\Roaming\Mozilla\Firefox\Profiles\z492zqbx.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [27597 octets] - [31/01/2014 22:18:10]
AdwCleaner[R1].txt - [919 octets] - [02/02/2014 23:33:39]
AdwCleaner[R2].txt - [1037 octets] - [03/02/2014 00:37:59]
AdwCleaner[R3].txt - [1157 octets] - [03/02/2014 00:44:17]
AdwCleaner[S0].txt - [27658 octets] - [31/01/2014 22:18:39]
AdwCleaner[S1].txt - [979 octets] - [02/02/2014 23:34:19]
AdwCleaner[S2].txt - [629 octets] - [03/02/2014 00:38:15]
AdwCleaner[S3].txt - [1079 octets] - [03/02/2014 00:44:39]

########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [1139 octets] ##########

[g3n-h@ckm@n]

tu as desactivé tes protections avant ?

[gus87]

refait après avoir désactivé AVAST :





# AdwCleaner v3.018 - Rapport créé le 03/02/2014 à 01:17:42
# Mis à jour le 28/01/2014 par Xplode
# Système d'exploitation : Windows 8 (64 bits)
# Nom d'utilisateur : Guillaume - FAMILLE-REGNAT
# Exécuté depuis : C:\Users\Guillaume\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16537


-\\ Mozilla Firefox v26.0 (fr)

[ Fichier : C:\Users\Guillaume\AppData\Roaming\Mozilla\Firefox\Profiles\z492zqbx.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [27597 octets] - [31/01/2014 22:18:10]
AdwCleaner[R1].txt - [919 octets] - [02/02/2014 23:33:39]
AdwCleaner[R2].txt - [1037 octets] - [03/02/2014 00:37:59]
AdwCleaner[R3].txt - [1157 octets] - [03/02/2014 00:44:17]
AdwCleaner[R4].txt - [1277 octets] - [03/02/2014 00:56:22]
AdwCleaner[R5].txt - [1397 octets] - [03/02/2014 01:13:56]
AdwCleaner[R6].txt - [1517 octets] - [03/02/2014 01:17:25]
AdwCleaner[S0].txt - [27658 octets] - [31/01/2014 22:18:39]
AdwCleaner[S1].txt - [979 octets] - [02/02/2014 23:34:19]
AdwCleaner[S2].txt - [629 octets] - [03/02/2014 00:38:15]
AdwCleaner[S3].txt - [1219 octets] - [03/02/2014 00:44:39]
AdwCleaner[S4].txt - [1339 octets] - [03/02/2014 00:56:41]
AdwCleaner[S5].txt - [629 octets] - [03/02/2014 01:14:24]
AdwCleaner[S6].txt - [1438 octets] - [03/02/2014 01:17:42]

########## EOF - C:\AdwCleaner\AdwCleaner[S6].txt - [1498 octets] ##########

[g3n-h@ckm@n]

• Télécharge Junkware Removal Tool (de thisisu) sur ton bureau.
• Lance Junkware Removal Tool, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Appuie sur n'importe quelle touche.
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier JRT.txt à été créé.
• Héberge le rapport JRT.txt surSosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

[gus87]

http://upload.sosvirus.net/log/SosUploa ... 4dfaa8.txt

[g3n-h@ckm@n]

refais OTL avec les mêmes consignes maintenant ,

voici l'image (en espérant que cette fois-ci elle passera) ^^

[gus87]

http://upload.sosvirus.net/log/SosUploa ... b0a1f8.Txt

http://upload.sosvirus.net/log/SosUploa ... a82f4a.Txt

[gus87]

re,

ne faudrait t'il pas que je procédè à une restauration ?

[gus87]

up

[g3n-h@ckm@n]

je peux savoir où se trouve le raccourci avec lequel tu lances internet ?

[gus87]

dans ma barre d'outils

[g3n-h@ckm@n]

repasse shortcut_module en mode sans echec

[gus87]

http://upload.sosvirus.net/log/SosUploa ... a3c7d4.txt

[gus87]

Le PC tourne mieux
Je n'ai plus de pub qui s'ouvre comme c’était le cas
débarrassé de awesomhp

Par contre toujours lightning speed dial qui s'ouvre lorsque j'ouvre un nouvel onglet

[g3n-h@ckm@n]

sous firefox ?

[gus87]

yes

[g3n-h@ckm@n]

peux-tu me faire parvenir le fichier :

c:\users\ta session\appdata\roaming\Mozilla\Firefox\Profiles\.default\Prefs.js ?

[gus87]

comment je te l'envoi ?

[g3n-h@ckm@n]

clic droit dessus , envoyer vers => dossiers compressés , et tu heberges l archive sur cjoint.com

[gus87]

http://cjoint.com/?DBebeKEcfaQ

[g3n-h@ckm@n]

il y a des choses à quoi tu tiens dans firefox ?

[gus87]

Euh non je crois pas
A part mes favoris (marques pages)

[gus87]

je tourne toujours au ralenti, il faut que je désactive avast par ex pour ouvrir correctement une page internet
de plus toujours des fenêtres de pub qui s'ouvrent frequement