FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[jeanbob]

Bonjour, j'ai téléchargé pspad sur pspasd.com pensant que c'était sécure et bin non.
Je me retrouve avec trovi.com qui me fait bien ch....

Je l'ai supprimé dans le panneau de config, mais je m'en doutais il est toujours là.
J'ai voulu lancer un adwcleaner mais on me dit que ma version est obsolète.
Mais comme je suis méfiant je n'ose pas le faire...

Et depuis ça j'ai ça dans ma messagerie.

Échec de la connexion sécurisée

live.mozillamessaging.com utilise un certificat de sécurité invalide.
Le certificat n'est pas sûr car aucune chaîne d'émetteurs de confiance n'est fournie. (Code d'erreur : sec_error_unknown_issuer)

So, c'est grave Docteur?

[2011N2]

Bonjour,

1/ Passe Shortcut_Module et poste le rapport hébergé : http://www.forum-entraide-informatique. ... e-tutoriel

2/ Passe AdwCleaner et poste le rapport : http://www.forum-entraide-informatique. ... r-tutoriel

Gabriel.

[jeanbob]

J'ai lancé un short_module, mon pc a redémarré et depuis plus de trovi.com...????
Je n'ai pas vu de rapport, rien du tout, j'étais pas devant l'écran!!!

[2011N2]

Re,

Le rapport est à la racine du disque C:, héberge-le et poste le lien généré STP.

Gabriel.

[jeanbob]

La racine du disque C, mais encore???  

[jeanbob]

 

¤¤¤¤¤¤¤¤¤¤ | Shortcut_Module | g3n-h@ckm@n | 02.02.2014.2

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤ - Start 13:48:24 - 24/05/2014

Mis à jour le : 06/02/2014 | 20.30 par g3n-h@ckm@n

Contact : http://www.sosvirus.net

Boot : Normal

Système : Windows 7 Home Premium (32 bits) HomePremium Service Pack 1

Mémoire RAM = Total (MB) : 3077 | Libre (MB) : 1714
Pagefile = Total (MB) : 6150 | Libre (MB) : 4738
Virtuelle = Total (MB) : 2097 | Libre (MB) : 1981

¤¤¤¤¤¤¤¤¤¤ | Mises à jour Windows

Dernière(s) détection(s) : 2014-05-24 07:05:46
Dernières Téléchargées : 2014-05-23 09:10:05
Dernières installées : 2014-05-23 09:10:35
Prochaine recherche : 2014-05-25 01:12:57


(1212) -- WUDFHost.exe
(1540) -- spoolsv.exe
(1644) -- armsvc.exe
(1900) -- WajamInternetEnhancerService.exe
(1316) -- WajamHttpServer.exe
(2952) -- GoogleCrashHandler.exe
(3048) -- SearchIndexer.exe
(3904) -- taskhost.exe
(3996) -- explorer.exe
(2136) -- RtHDVCpl.exe
(1760) -- SynTPEnh.exe
(1756) -- CLMLSvc.exe
(2608) -- FailSafeNotifier.exe
(228) -- hkcmd.exe
(900) -- igfxpers.exe
(964) -- igfxsrvc.exe
(2208) -- HpqSRmon.exe
(1028) -- hpwuSchd2.exe
(2116) -- jusched.exe
(2308) -- M-AudioTaskBarIcon.exe
(1600) -- SynTPHelper.exe
(3380) -- WajamInternetEnhancer.exe
(3428) -- taskeng.exe
(3580) -- dmhkcore.exe
(2828) -- EasySpeedUpManager.exe
(3276) -- SSCKbdHk.exe
(3524) -- igfxext.exe
(2748) -- firefox.exe
(3264) -- SUPNotifier.exe
(2376) -- taskeng.exe

¤¤¤¤¤¤¤¤¤¤ | Détournements de raccourcis


¤¤¤¤¤¤¤¤¤¤ | Détournement internet Explorer

Réparé : [HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[ProxyOverride] : - *.local

¤¤¤¤¤¤¤¤¤¤ | Détournement Google Chrome


¤¤¤¤¤¤¤¤¤¤ | Détournement Firefox

[wam] Remplacé : user_pref("browser.startup.homepage", "http://www.trovi.com/?gd=ctid=CT3315513 ... E7CF9SSPV="); - user_pref("browser.startup.homepage", "http://www.google.fr");

¤¤¤¤¤¤¤¤¤¤ | Détournement des clés StartMenuInternet


¤¤¤¤¤¤¤¤¤¤ | Détournement Javascript


¤¤¤¤¤¤¤¤¤¤ | Fichiers temporaires

[All Users] Fichiers temporaires Supprimés : 0 Ko
[Default User] Fichiers temporaires Supprimés : 0 Ko
[Default] Fichiers temporaires Supprimés : 0 Ko
[Public] Fichiers temporaires Supprimés : 0 Ko
[wam] Fichiers temporaires Supprimés : 453 Ko

Autre rapport : C:\Shortcut_Module_09_02_2014_18_56_00.txt
Autre rapport : C:\Shortcut_Module_09_02_2014_19_02_25.txt

¤¤¤¤¤¤¤¤¤¤ |EOF| ¤¤¤¤¤¤¤¤¤¤

[2011N2]

Re,

Ta version est obsolète, elle date du 02/02/2014.
Supprime l'outil, retélécharge-le et recommence l'opération STP.

Pense à héberger le rapport, il sera trop long pour rentrer dans le forum.

Gabriel.

[jeanbob]

J'ai lancé un SC_module à jour, et j'obtiens ça....??

¤¤¤¤¤¤¤¤¤¤ | Shortcut_Module | g3n-h@ckm@n | 02.02.2014.2

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤ - Start 14:19:32 - 24/05/2014

Mis à jour le : 06/02/2014 | 20.30 par g3n-h@ckm@n

Contact : http://www.sosvirus.net

Boot : Normal

Système : Windows 7 Home Premium (32 bits) HomePremium Service Pack 1

Mémoire RAM = Total (MB) : 3077 | Libre (MB) : 1700
Pagefile = Total (MB) : 6150 | Libre (MB) : 4700
Virtuelle = Total (MB) : 2097 | Libre (MB) : 1982

¤¤¤¤¤¤¤¤¤¤ | Mises à jour Windows

Dernière(s) détection(s) : 2014-05-24 07:05:46
Dernières Téléchargées : 2014-05-23 09:10:05
Dernières installées : 2014-05-23 09:10:35
Prochaine recherche : 2014-05-25 01:12:57


(1212) -- WUDFHost.exe
(1528) -- spoolsv.exe
(1644) -- armsvc.exe
(1920) -- WajamInternetEnhancerService.exe
(1596) -- WajamHttpServer.exe
(2836) -- taskhost.exe
(2960) -- explorer.exe
(3176) -- RtHDVCpl.exe
(3196) -- SynTPEnh.exe
(3204) -- CLMLSvc.exe
(3240) -- hkcmd.exe
(3272) -- igfxpers.exe
(3384) -- HpqSRmon.exe
(3392) -- SynTPHelper.exe
(3440) -- igfxsrvc.exe
(3472) -- hpwuSchd2.exe
(3540) -- jusched.exe
(3624) -- M-AudioTaskBarIcon.exe
(3760) -- taskeng.exe
(4012) -- WCScheduler.exe
(4092) -- WajamInternetEnhancer.exe
(2128) -- dmhkcore.exe
(2164) -- EasySpeedUpManager.exe
(2344) -- SSCKbdHk.exe
(2544) -- igfxext.exe
(1444) -- SearchIndexer.exe
(4084) -- GoogleCrashHandler.exe
(3692) -- firefox.exe
(2900) -- SUPNotifier.exe
(1056) -- explorer.exe
(3112) -- SearchProtocolHost.exe
(2772) -- SearchFilterHost.exe

¤¤¤¤¤¤¤¤¤¤ | Détournements de raccourcis


¤¤¤¤¤¤¤¤¤¤ | Détournement internet Explorer

Réparé : [HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[ProxyOverride] : - *.local

¤¤¤¤¤¤¤¤¤¤ | Détournement Google Chrome


¤¤¤¤¤¤¤¤¤¤ | Détournement Firefox


¤¤¤¤¤¤¤¤¤¤ | Détournement des clés StartMenuInternet


¤¤¤¤¤¤¤¤¤¤ | Détournement Javascript


¤¤¤¤¤¤¤¤¤¤ | Fichiers temporaires

[All Users] Fichiers temporaires Supprimés : 0 Ko
[Default User] Fichiers temporaires Supprimés : 0 Ko
[Default] Fichiers temporaires Supprimés : 0 Ko
[Public] Fichiers temporaires Supprimés : 0 Ko
[wam] Fichiers temporaires Supprimés : 1 Ko

Autre rapport : C:\Shortcut_Module_09_02_2014_18_56_00.txt
Autre rapport : C:\Shortcut_Module_09_02_2014_19_02_25.txt
Autre rapport : C:\Shortcut_Module_24_05_2014_13_49_35.txt

¤¤¤¤¤¤¤¤¤¤ |EOF| ¤¤¤¤¤¤¤¤¤¤

[2011N2]

Re,

Pourquoi dis-tu qu'il est à jour ? Il date de début février, la dernière version est très récente.

Gabriel.

[jeanbob]

????? je viens de le télécharger, je comprends pas, j'y retourne!!!!

[2011N2]

Re,

Où est-ce que tu le télécharges ?

Gabriel.

[jeanbob]

Sur le lien du forum.
J'ai relancé un scan. A la fin ça me disait proxy détecté, supprimer?
Ne sachant pas je ne l'ai pas supprimé.
Depuis plus web, même en mode sans échec avec prise en charge réseau.
J'ai relancé un autre scan, j'attends la fin.
Dois-je supprimer le proxy si short
Cut me le demande?

[2011N2]

Re,

Oui, supprime le proxy, mais poste déjà le premier rapport obtenu.

Gabriel.

[jeanbob]

Ok, le scan est en cours...

[2011N2]

D'accord.

Gabriel.

[jeanbob]

Après suppression du proxy comme demandé par SC, retour à la normale (pour le web quoi)

Et voilà le rapport de SC

http://cjoint.com/14mi/DEyqiffygMS.htm

[2011N2]

Re,

Tu peux poster ce rapport aussi STP ? C:\Shortcut_Module_24_05_2014_15_18_34.txt

Gabriel.

[jeanbob]

J'ai hésité à mettre les deux...  

http://cjoint.com/14mi/DEyqqtBJQV9.htm

[2011N2]

Re,

OK tu peux passer à AdwCleaner.

Gabriel.

[jeanbob]

Et voilà

# AdwCleaner v3.210 - Rapport créé le 24/05/2014 à 16:52:18
# Mis à jour le 19/05/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : wam - PC
# Exécuté depuis : C:\Users\wam\Downloads\adwcleaner_3.210.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\WLXQuickTimeShellExt.DLL
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\FreeCompressor-setup_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\FreeCompressor-setup_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\Software\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\08121C32A9C319F4CB0C11FF059552A4

***** [ Navigateurs ] *****

-\\ Internet Explorer v0.0.0.0


-\\ Mozilla Firefox v29.0.1 (fr)

[ Fichier : C:\Users\wam\AppData\Roaming\Mozilla\Firefox\Profiles\9m5n39cc.default\prefs.js ]


-\\ Google Chrome v

*************************

AdwCleaner[R0].txt - [14948 octets] - [18/09/2013 13:49:53]
AdwCleaner[R1].txt - [5484 octets] - [09/02/2014 19:49:35]
AdwCleaner[R2].txt - [5390 octets] - [09/02/2014 20:18:27]
AdwCleaner[R3].txt - [2916 octets] - [24/05/2014 14:28:17]
AdwCleaner[R4].txt - [2017 octets] - [24/05/2014 16:44:39]
AdwCleaner[R5].txt - [2077 octets] - [24/05/2014 16:51:45]
AdwCleaner[S0].txt - [13065 octets] - [18/09/2013 13:52:46]
AdwCleaner[S1].txt - [5510 octets] - [09/02/2014 20:22:13]
AdwCleaner[S2].txt - [1822 octets] - [24/05/2014 16:52:18]

########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [1882 octets] ##########

[jeanbob]

Euh...c'est fini?   

[2011N2]

Re,

Tu sais, je ne passe pas mes journées sur le forum.

Fais un diagnostic de ton PC avec ZHPDiag et poste le rapport hébergé : http://www.forum-entraide-informatique. ... g-tutoriel

Gabriel.

[jeanbob]

Ah bon?  


http://cjoint.com/14mi/DEzaUDmQdcG.htm

p.s: Je viens de voir que tu es de Lyon, la prochaine fois je passerai te voir   

[2011N2]

Bonjour ^^

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.

[jeanbob]

Et voili

Rapport de ZHPFix 2014.4.13.3 par Nicolas Coolman, Update du 13/04/2014
Fichier d'export Registre :
Run by wam at 26/05/2014 10:46:04
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 07s)
Dossier Prefetcher vidé

========== Clés du Registre ==========
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\BearShare_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\BearShare_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\GoogleToolbarInstaller_updater_signed_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\GoogleToolbarInstaller_updater_signed_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\GoogleToolbarNotifier_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\GoogleToolbarNotifier_RASMANCS

========== Préférences navigateur ==========
SUPPRIMÉ Mozilla Pref: user_pref("avg.install.newtab", false);

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉS Temporaires Windows (0) (0 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
6 : Clés du Registre
1 : Dossiers
2 : Fichiers
1 : Préférences navigateur
1 : Restauration Système


End of clean in 00mn 27s

========== Chemin de fichier rapport ==========
C:\Users\wam\AppData\Roaming\ZHP\ZHPFix[R1].txt - 09/02/2014 20:04:26 [4792]
C:\Users\wam\AppData\Roaming\ZHP\ZHPFix[R2].txt - 26/05/2014 10:46:11 [1498]

[2011N2]

Bonjour,

Bien.

Passe MBAM et poste le rapport : http://www.forum-entraide-informatique. ... m-tutoriel

Gabriel.

[Bergyo]

Salut,

Mes 2 ordis ont été infectés par ce truc !!

Comme conseillé, je les ai respectivement traités avec ShortcCut, AdwCleaner et ZHPDiag.

Voici les rapports pour l'ordi 1 :
http://cjoint.com/?DEAssfmLkfH
http://cjoint.com/?DEAssx8YxuK
http://cjoint.com/?DEAssQYpjWV

Et pour l'ordi 2 :
http://cjoint.com/?DEAsJQm3UE1
http://cjoint.com/?DEAsJ7fCouB

Désolé pour le double dérangement !

[2011N2]

Bonjour Bergyo,

Ouvre un nouveau sujet STP : http://www.forum-entraide-informatique. ... e=newtopic

Gabriel.

[2011N2]

Bonsoir,

jeanbob, poste le rapport MBAM ici STP.

Gabriel.

[jeanbob]

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Date de l'examen: 27/05/2014
Heure de l'examen: 10:50:37
Fichier journal: nnn.txt
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.05.27.04
Base de données Rootkits: v2014.05.21.01
Licence: Essai
Protection contre les malveillants: Activé(e)
Protection contre les sites Web malveillants: Activé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x86
Système de fichiers: NTFS
Utilisateur: wam

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 235723
Temps écoulé: 8 min, 37 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 0
(No malicious items detected)

Secteurs physiques: 0
(No malicious items detected)


(end)

[2011N2]

Bonjour,

Merci.

Comment se comporte le PC ?

Fais un nouveau rapport ZHPDiag.

Gabriel.

[jeanbob]

Hello, il rame un peu, j'ai l'impression.

http://cjoint.com/14mi/DECo1JKywCA.htm

Au fait, c'est téléchargeant pspad que j'ai chopé trovi.com.
J'ai toujours pspad, faut il le supprimer?

Merci

[2011N2]

Re,

D'accord.

Refais ZHPFix avec ces lignes et poste le rapport :

Script ZHPFix
O20 - AppInit_DLLs: . (...) - C:\Users\wam\AppData\Local\DProtect\eBP.dll (.not file.) 
[HKCU\Software\Spyware Terminator]   
[HKLM\Software\Spyware Terminator]   
O43 - CFD: 24/09/2012 - 15:40:24 - [] ----D C:\ProgramData\Spyware Terminator   

Gabriel.

[jeanbob]

Ecco!



Rapport de ZHPFix 2014.4.13.3 par Nicolas Coolman, Update du 13/04/2014
Fichier d'export Registre :
Run by wam at 28/05/2014 22:51:54
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 02s)

========== Clés du Registre ==========
SUPPRIMÉ: HKCU\Software\Spyware Terminator
SUPPRIMÉ: HKLM\Software\Spyware Terminator

========== Dossiers ==========
SUPPRIMÉ: C:\ProgramData\Spyware Terminator


========== Récapitulatif ==========
2 : Clés du Registre
1 : Dossiers


End of clean in 00mn 05s

========== Chemin de fichier rapport ==========
C:\Users\wam\AppData\Roaming\ZHP\ZHPFix[R1].txt - 09/02/2014 20:04:26 [4792]
C:\Users\wam\AppData\Roaming\ZHP\ZHPFix[R2].txt - 26/05/2014 09:46:11 [1576]
C:\Users\wam\AppData\Roaming\ZHP\ZHPFix[R3].txt - 28/05/2014 22:51:56 [790]

[2011N2]

Re,

Désolé j'ai oublié de répondre à ta question dans mon précédent message :

Au fait, c'est téléchargeant pspad que j'ai chopé trovi.com.
J'ai toujours pspad, faut il le supprimer?
Non, tu peux le garder, c'est juste son installateur qui était infecté.

Tu peux faire la finalisation : http://www.forum-entraide-informatique. ... nalisation
Tiens-moi au courant de ton avancée au fur et à mesure.

Gabriel.

[jeanbob]

J'avance, j'avance.
Par contre il veut me faire mettre à jour un truc chez HP (hp upadte software).
Mon PC est un samsung....???

[2011N2]

Re,

T'as rien qui correspond à HP sinon ? Une imprimante par exemple.

Gabriel.

[jeanbob]

En effet, je croyais que c'était une Epson...mais ça fait un bail que je m'en sers plus, elle fonctionna pas.
Les MAJ ont été faites.

[g3n-h@ckm@n]

hello j'ai délibérément supprimé un des rapports de ton premier post qui contenait ton mot de passe d'un jeu
cordialement

[jeanbob]

Merci, mais je joue pas, c'est bizarre.
Tu peux me dire en mp ce que c'est stp?
Merci