Forum d'Entraide Informatique (FEI)

Site d'assistance et de sécurité informatique
https://www.forum-entraide-informatique.com/support/

[Résolu] Infection virus?

https://www.forum-entraide-informatique.com/support/viewtopic.php?f=3&t=15769

Page 1 sur 1

[Résolu] Infection virus?

Posté : lun. 2 juin 2014 17:17
par laureb81
Bonjour!

J'ai depuis quelques temps la page http://exchange.datropy.com qui s'ouvre quand je surfe sur internet. Sur certains site des mots apparaissent en vert soulignés de 2 traits.

J'ai passé AdwCleaner et voici le rapport : http://cjoint.com/?DFcrlCmxztL

Que dois-je faire?

Merci d'avance pour votre aide

Infection virus?

Posté : lun. 2 juin 2014 17:30
par g3n-h@ckm@n
salut

[*]Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.

[*]Télécharge Shortcut_Module sur ton bureau.

Note : Enregistrer votre travail avant de continuer !


[*]Lance Shortcut_Module, [*]Clic sur Nettoyer

Image

Note : Patiente le temps du scan


[*]Laisse travailler l'outil même s'il te parait bloqué
[*]Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"

[*]Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

Re: [Résolu] Infection virus?

Posté : lun. 2 juin 2014 19:15
par laureb81
Merci pour la réactivité

Voici le rapport de Shortcut Module

http://upload.sosvirus.net/www/?a=di=jshaJ11EUA

Infection virus?

Posté : lun. 2 juin 2014 20:10
par g3n-h@ckm@n
Désactive ton antivirus.

selectionne ce texte , puis CTRL + C

CouponDownloader
e180d6e8-52cd-41d9-9002-9e43f22d4c91

relance shortcut_module puis clique sur le petit "S" en bas.
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le et relance un nettoyage il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu et relance le nettoyage

poste enfin le nouveau rapport

Re: [Résolu] Infection virus?

Posté : mar. 3 juin 2014 20:41
par laureb81
Bonjour.

Voici le rapport de Shortcut Module

http://upload.sosvirus.net/www/?a=di=nTqCKi8My9

Infection virus?

Posté : mar. 3 juin 2014 20:44
par g3n-h@ckm@n
  • Télécharge MalwareBytes
  • Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
  • Clic sur Mettre à jour (à droite, au centre)
  • Clic sur Examen (en haut)
  • Sélectionne Examen "Menaces"
  • Clic sur Examiner maintenant

    Image
  • A la fin du scan clic sur Tout mettre en quarantaine !
  • Clic sur Copier dans le Presse-papiers
  • Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

Re: [Résolu] Infection virus?

Posté : mar. 3 juin 2014 23:42
par laureb81
Voici le rapport de malwareBytes

http://upload.sosvirus.net/www/?a=di=Njl7WoDOHe

Infection virus?

Posté : mer. 4 juin 2014 12:47
par g3n-h@ckm@n
  • Copie le script ci dessous :

    HKCU\Software
        HKLM\Software
        HKCU\Software\Microsoft\Command Processor /s
        HKLM\Software\Microsoft\Command Processor /s
        %Homedrive%\*
        %Homedrive%\*.
        %Userprofile%\*
        %Userprofile%\*.
        %Allusersprofile%\*
        %Allusersprofile%\*.
        %LocalAppData%\*
        %LocalAppData%\*.
        %Userprofile%\Local Settings\Application Data\*
        %Userprofile%\Local Settings\Application Data\*.
        %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
        %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
        %programFiles%\*
        %programfiles%\Google\Desktop\Install /s
        %programFiles%\*.
        %Systemroot%\Installer\*.
        %Systemroot%\Temp\*.exe /s
        %systemroot%\system32\*.dll /lockedfiles
        %systemroot%\system32\*.exe /lockedfiles
        %systemroot%\system32\*.in*
        %systemroot%\Tasks\*
        %systemroot%\Tasks\*.
        %systemroot%\system32\Tasks\*
        %systemroot%\system32\Tasks\*.
        %systemroot%\system32\drivers\*.sy* /lockedfiles
        %systemroot%\system32\config\*.exe /s
        %Systemroot%\ServiceProfiles\*.exe /s
        %systemroot%\system32\*.sys
        dir %Homedrive%\* /S /A:L /C
        msconfig
        activex
        /md5start
        explorer.exe
        winlogon.exe
        wininit.exe
        volsnap.sys
        atapi.sys
        ndis.sys
        cdrom.sys
        i8042prt.sys
        iastor.sys
        tdx.sys
        netbt.sys
        afd.sys
        /md5stop
        netsvcs
        safebootminimal
        safebootnetwork
        CREATERESTOREPOINT
  • Télécharge OTL (by OldTimer) sur ton bureau.
  • Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  • Coche/Sélectionne les cases comme l'image ci dessous
  • Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
  • Clique sur Analyse

    Image
  • Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
  • Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

    En cas de problème avec SOSUpload, utiliser Cjoint

Re: [Résolu] Infection virus?

Posté : mer. 4 juin 2014 13:29
par laureb81
Voici les rapports de OTL

http://upload.sosvirus.net/www/?a=di=umF5vAGpyN

http://upload.sosvirus.net/www/?a=di=lVuQMb8IO4

Infection virus?

Posté : mer. 4 juin 2014 14:12
par g3n-h@ckm@n
désinstalle tout Java

=============

colle ce qui suit en bas d'OTL puis clique sur correction , puis poste le nouveau rapport :

:OTL
FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - user.js - File not found
[2013/01/22 13:16:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
[2013/01/22 13:16:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2013/01/22 13:16:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
[2010/10/12 15:04:50 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Extensions\MediaCoder-Setup-Wizard
O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found.
O4 - HKLM\..\Run: [AlcxMonitor] C:\WINNTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Filepd06.exe (Hewlett-Packard)
O4 - HKLM\..\Run: [iTunesHelper] C:\Program FilenesHelper.exe (Apple Inc.)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemrumprep 0 -k File not found
O4 - HKLM\..\Run: [nwiz] C:\WINDOWS\Sysiz.exe (NVIDIA Corporation)
O4 - HKLM\..\Run: [QuickTime Task] C:\Program Files\Quiexe (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.4.2/jinsta ... s-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.4.2/jinsta ... s-i586.cab (Reg Error: Key error.)
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\applic~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll) - File not found
[2014/05/30 12:44:56 | 000,000,000 | ---D | C] -- C:\Program Files\Software
[2014/05/30 12:44:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Software
[2014/05/30 10:52:43 | 000,000,000 | ---D | C] -- C:\fe98db5ca22d3f2930a14d8b48da22
[2014/05/30 10:23:34 | 000,000,000 | ---D | C] -- C:\7b28a61074101405618bea69
[2014/05/29 12:36:18 | 000,000,000 | ---D | C] -- C:\Program Files\004
[2014/06/04 12:48:00 | 000,000,416 | ---- | M] () -- C:\WINDOWS\tasks\At2.job
[2014/03/10 19:48:04 | 000,000,081 | ---- | C] () -- C:\Documents and Settings\NetworkService\Application Data\WB.CFG
[2014/03/09 17:48:57 | 000,000,088 | ---- | C] () -- C:\Documents and Settings\HP_Propriétaire\Application Data\WB.CFG
[2012/02/28 11:59:12 | 000,111,104 | ---- | C] () -- C:\Program Files\1036.MST
[2012/02/28 11:59:12 | 000,016,046 | ---- | C] () -- C:\Program Files\0x040c.ini
[2012/02/28 11:58:58 | 097,979,392 | ---- | C] () -- C:\Program Files\Samsung New PC Studio.msi
[2012/01/26 19:07:22 | 000,000,000 | ---- | C] () -- C:\Program Files\vlc-1.1.11-win32.exe
[2012/10/07 10:45:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\D-Link(2)
[2012/02/02 16:59:30 | 000,000,000 | ---D | M] -- C:\7589c87cd5dc6994eb2a05f7ec01
[2014/05/30 12:44:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Software
[2014/03/09 15:40:28 | 000,000,000 | ---D | M] -- C:\Program Files\BearShare Applications
[2012/10/07 10:46:06 | 000,000,000 | ---D | M] -- C:\Program Files\D-Link(2)
@Alternate Data Stream - 146 bytes - C:\Documents and Settings\All Users\Application Data\TEMP:094B2B4C
@Alternate Data Stream - 141 bytes - C:\Documents and Settings\All Users\Application Data\TEMP:1FDDA142
@Alternate Data Stream - 135 bytes - C:\Documents and Settings\All Users\Application Data\TEMP:8C885EDD
@Alternate Data Stream - 133 bytes - C:\Documents and Settings\All Users\Application Data\TEMP:8CE601F5
@Alternate Data Stream - 127 bytes - C:\Documents and Settings\All Users\Application Data\TEMP:9C64BB1A

:reg
[-HKEY_CURRENT_USER\Software\APN PIP]
[-HKEY_CURRENT_USER\Software\BearShare]
[-HKEY_CURRENT_USER\Software\ForumerIT]
[-HKEY_CURRENT_USER\Software\Tutorials]
[-HKEY_LOCAL_MACHINE\Software\951]
[-HKEY_LOCAL_MACHINE\Software\fst]
[-HKEY_LOCAL_MACHINE\Software\PIP]
[-HKEY_LOCAL_MACHINE\Software\Tutorials]
[HKLM\Software\Microsoft\Command Processor]
"AutoRun"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"=-

:files
C:\DOCUMENTS AND SETTINGS\HP_PROPRIéTAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\154IL14W.DEFAULT\EXTENSIONS\{3D7E*
C:\DOCUMENTS AND SETTINGS\HP_PROPRIéTAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\154IL14W.DEFAULT\EXTENSIONS\E180D6E8*

:commands
[emptytemp]

Re: [Résolu] Infection virus?

Posté : mer. 4 juin 2014 14:35
par laureb81
Voici le nouveau rapport de OTL

http://upload.sosvirus.net/www/?a=di=tqxLkGvv39

Infection virus?

Posté : mer. 4 juin 2014 14:49
par g3n-h@ckm@n
parfait

des soucis persistent ?

Re: [Résolu] Infection virus?

Posté : mer. 4 juin 2014 14:55
par laureb81
Je n'en ai pas l'impression!
Mon ordi est plus rapide, plus aucune page intempestive ne s'ouvre et plus de mots soulignés!!
Merci beaucoup!  
Laure

Infection virus?

Posté : mer. 4 juin 2014 15:25
par g3n-h@ckm@n
alors tu peux finir avec le ménage final

http://gen-hackman.purforum.com/t50-fin-de-desinfection

Re: [Résolu] Infection virus?

Posté : jeu. 5 juin 2014 11:01
par laureb81
Voilà tout est fait! Voici le rapport de DelFix

http://upload.sosvirus.net/www/?a=di=5XJaJ5Tmmb

Infection virus?

Posté : jeu. 5 juin 2014 12:01
par g3n-h@ckm@n
Magnifique

on peut fermer ?

Re: [Résolu] Infection virus?

Posté : jeu. 5 juin 2014 12:48
par laureb81
Oui on peut fermer! Merci pour tout.
Laure

Infection virus?

Posté : jeu. 5 juin 2014 16:50
par g3n-h@ckm@n
ok bonne route


Si vous aussi êtes infectés ou avez des problèmes similaires merci d'ouvrir un nouveau sujet en cliquant sur ce lien : http://www.forum-entraide-informatique. ... e=newtopic
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/