Page 1 sur 2

Infection adware et pop up

Posté : ven. 27 juin 2014 16:10
par Claire.a73
Bonjour,

J'ai une infection adware et pup/optionnal

J'ai fait un scan Mbam voici le lien cjoint du rapport :

http://cjoint.com/?3FBqgsoqZxD

Infection adware et pop up

Posté : ven. 27 juin 2014 17:33
par g3n-h@ckm@n
bonjour il faut éviter d'ouvrir plusieurs sujets ^^

Laisser travailler l'outil même s'il parait bloqué

Désactiver temporairement l'antivirus , ou les agents de protection qu'il contient.
Télécharger Shortcut_Module ici :
http://www.aht.li/2159847/Shortcut_Module.exe
L' enregistrer sur le bureau, et le lancer

Image

cliquer sur "Nettoyer" puis laisser tourner le scan :

Image

Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...


Si l'outil détecte un proxy et qu'aucun n'a été installé et qu'il n'y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
  Il donnera un rapport en fin d’exécution , dans C:\Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)
le pc va redemarrer
Héberger le rapport sur http://cjoint.com puis fournir le lien obtenu

Note : En fin de désinfection (ET PAS AVANT) relancer l'outil et cliquer sur le pett "u" en bas à droite pour le desinstaller totalement

Re: Infection adware et pop up

Posté : sam. 28 juin 2014 06:56
par Claire.a73
Bonjour,

Désolée pour les deux posts, le pc a vraiment du mal à fonctionner correctement du coup, j'ai cru que ca n'avait pas marché !

Bref, je suis sur un autre pc là, je crois que j'ai un problème avec le logiciel, il a tourné toute la nuit, je suis bloquée à 20% mais j'ai bien le nombre d'éléments analysés qui augmentent. Est-ce normal ?

Bonne journée !

Infection adware et pop up

Posté : sam. 28 juin 2014 11:50
par g3n-h@ckm@n
re

c'est corrigé retelecharge-le

Re: Infection adware et pop up

Posté : sam. 28 juin 2014 13:37
par Claire.a73
Bon, je l'ai retéléchargé et relancé, il se bloque à 20% et me dit qu'il manque une ligne (je crois). Ca dit un truc du genre "At line ... error..."

Infection adware et pop up

Posté : sam. 28 juin 2014 14:08
par g3n-h@ckm@n
le message exact serait parfait

Re: Infection adware et pop up

Posté : sam. 28 juin 2014 14:49
par Claire.a73
Alors ça dit à 30% du scan dans la partie ApplD/Rescurse/HKLM

Titre du message : " AutoIt Error

Line 15925 File C:\\Users\Ninou\Desktop\Shortcut_Module.exe
Error : Variable used without being declared"

Voilà

Du coup, je dois partir tout le week end, je suis de retour lundi, donc je te libère !

Re: Infection adware et pop up

Posté : sam. 28 juin 2014 16:06
par Claire.a73
Du coup, mon festival est annulé, tempête donc je reste à l'abri, je suis dispo pour finir la désinfection ! Je reste en ligne ! ^^

Infection adware et pop up

Posté : sam. 28 juin 2014 19:22
par g3n-h@ckm@n
ok

reessaie ca devrait être bon

Re: Infection adware et pop up

Posté : sam. 28 juin 2014 20:32
par Claire.a73
Ca recommence le meme message avec la ligne 15885

Infection adware et pop up

Posté : sam. 28 juin 2014 22:31
par g3n-h@ckm@n
bizarre j'ai pas ca moi dans mes tests sur les machines... tu desactives bien tes protections ?
il verifie bien s'il est à jour ?

Re: Infection adware et pop up

Posté : sam. 28 juin 2014 22:36
par Claire.a73
Oui, j'ai meme le message windows qui me dit que je n'ai pas de protection sur le pc. Est-ce que je retente ?

Infection adware et pop up

Posté : dim. 29 juin 2014 03:56
par g3n-h@ckm@n
je pense que tu peux retenter , retelecherge-le

Re: Infection adware et pop up

Posté : lun. 30 juin 2014 12:56
par Claire.a73
Bonjour !
J'étais pas là hier ! Du coup, ce matin j'ai refait le scan et il a encore bloqué mais là à la ligne 15927. Pourtant, j'ai bien regardé tout est désactivé, le proxy aussi ! Peut etre qu'il y a un fichier infecté qui bloque le processus ?
J'attend de tes nouvelles ! Bonne journée !

Infection adware et pop up

Posté : lun. 30 juin 2014 14:46
par g3n-h@ckm@n
il s'est mis à jour quand tu l'as relancé ? tu as vu une fenetre "Version à jour" au lancement ?

Re: Infection adware et pop up

Posté : lun. 30 juin 2014 17:00
par Claire.a73
Oui, oui, ca dit que la version est à jour !

Re: Infection adware et pop up

Posté : mar. 1 juil. 2014 11:55
par Claire.a73
Du coup, qu'est ce que je fais ?

Re: Infection adware et pop up

Posté : mar. 1 juil. 2014 21:17
par Claire.a73
Salut,

Tiens moi au courant, je reste co toute la soirée !

A bientot

Infection adware et pop up

Posté : jeu. 3 juil. 2014 21:27
par g3n-h@ckm@n
bonjour tu peux me dire exactement ce qu'on voit inscrit entre les crochets de la fenetre en haut à gauche sous la barre de progression quand ca bloque ?

Re: Infection adware et pop up

Posté : ven. 4 juil. 2014 15:17
par Claire.a73
Bonjour,

Alors c'est ApplD/Rescurse/HKLM.

Infection adware et pop up

Posté : ven. 4 juil. 2014 16:17
par g3n-h@ckm@n
hello

retente ? (supprime avant lancienne version que tu as

http://www.aht.li/2159847/Shortcut_Module.exe

Re: Infection adware et pop up

Posté : sam. 5 juil. 2014 12:29
par Claire.a73
Bonjour,

Alors j'ai fait ce que tu m'as dit je suis arrivée à 90% et ca bloque de nouveau. Je suis dans la partie [Shortcuts 2] : C\users\public\desktop

Le message est le suivant

"AutoIt Error

Line 20138 (File:" C:\Users\Ninou\Desktop\Shortcut_module.exe"

Error : Variable must be of type "object"



J'ai bien réussi à désactiver toutes les protections avant de le lancer. Voilà !

Je suis désolée que ça prenne autant de temps. Merci encore de ton aide ! J'espère qu'on va y arriver ! J'attends ta réponse, à plus tard !

Re: Infection adware et pop up

Posté : sam. 5 juil. 2014 12:47
par Claire.a73
Re,

J'ai un souci, pour sortir de ton programme j'ai du faire reset, j'ai rallumé le pc mais je n'ai plus le bureau, c'est-à-dire que je lance le démarrage, j'ouvre la session et là ça me fait un écran noir. Du coup, j'ai fait Ctl+Alt+Suppr et j'ai réussi à avoir le gestionnaire de tache pour ouvrir les pages que je veux. CA me donne maintenant le fond d'écran mais je n'ai pas le menu démarrer, ni les icones du bureau.

Qu'est-ce que je peux faire pour réparer ça ?

Re: Infection adware et pop up

Posté : lun. 7 juil. 2014 10:06
par Claire.a73
Bonjour,

J'espère que le week end a été bon pour toi ! Je suis dispo toute la journée. J'attends de tes nouvelles.

Infection adware et pop up

Posté : lun. 7 juil. 2014 13:11
par g3n-h@ckm@n
bonjour j'ai isolé le beug logiquement il devrait aller jusqu'au bout maintenant

http://www.aht.li/2159847/Shortcut_Module.exe

Re: Infection adware et pop up

Posté : lun. 7 juil. 2014 17:29
par Claire.a73
Ca y est tout refonctionne correctement !

Voici le lien cjoint

http://cjoint.com/?3GhrBrvIg1D

Infection adware et pop up

Posté : jeu. 10 juil. 2014 13:24
par g3n-h@ckm@n
bonjour désolé souci de santé

==

Désactive ton antivirus.

selectionne ce texte , puis CTRL + C

saveo naEot
pbccgoofngefdiaalhgeengboegmgdif
CoupExotiensIoan
aeanhjckelcikbobkhbadbbkpfcllffg
BItSaveiR
ophjpebfcpagonjplkjfmedafihjpipa
eio1_v@ihaxpdshpf.net
337Games
YoutubeAdblocker



relance shortcut_module puis clique sur le petit "S"
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le et relance un nettoyage il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu et relance le nettoyage

poste enfin le nouveau rapport

Re: Infection adware et pop up

Posté : jeu. 10 juil. 2014 15:50
par Claire.a73
Bonjour,

Ok il n'y a pas de soucis ! Ca arrive ! Il faut se remettre !

Voici le lien : http://cjoint.com/?3GkpWlElETf

Re: Infection adware et pop up

Posté : jeu. 10 juil. 2014 18:42
par g3n-h@ckm@n
re
  • Copie le script ci dessous :

    HKCU\Software
        HKLM\Software
        HKCU\Software\Microsoft\Command Processor /s
        HKLM\Software\Microsoft\Command Processor /s
        HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
        %Homedrive%\*
        %Homedrive%\*.
        %Userprofile%\*
        %Userprofile%\*.
        %Allusersprofile%\*
        %Allusersprofile%\*.
        %LocalAppData%\*
        %LocalAppData%\*.
        %Userprofile%\Local Settings\Application Data\*
        %Userprofile%\Local Settings\Application Data\*.
        %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
        %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
        %programFiles%\*
        %programfiles%\Google\Desktop\*. /s
        %programFiles%\*.
        %Systemroot%\Installer\*.
        %Systemroot%\Temp\*.exe /s
        %systemroot%\system32\*.dll /lockedfiles
        %systemroot%\system32\*.exe /lockedfiles
        %systemroot%\system32\*.in*
        %systemroot%\PSS\* /s
        %systemroot%\Tasks\*
        %systemroot%\Tasks\*.
        %systemroot%\system32\Tasks\*
        %systemroot%\system32\Tasks\*.
        %systemroot%\syswow64\Tasks\*
        %systemroot%\syswow64\Tasks\*.
        %systemroot%\system32\drivers\*.sy* /lockedfiles
        %systemroot%\system32\config\*.exe /s
        %Systemroot%\ServiceProfiles\*.exe /s
        %systemroot%\system32\*.sys
        dir %Homedrive%\* /S /A:L /C
        msconfig
        activex
        /md5start
        explorer.exe
        winlogon.exe
        wininit.exe
        volsnap.sys
        atapi.sys
        ndis.sys
        cdrom.sys
        i8042prt.sys
        iastor.sys
        tdx.sys
        netbt.sys
        afd.sys
        /md5stop
        netsvcs
        safebootminimal
        safebootnetwork
        CREATERESTOREPOINT
  • Télécharge OTL (by OldTimer) sur ton bureau.
  • Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  • Coche/Sélectionne les cases comme l'image ci dessous
  • Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
  • Clique sur Analyse

    Image
  • Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
  • Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

    En cas de problème avec SOSUpload, utiliser Cjoint

Re: Infection adware et pop up

Posté : ven. 11 juil. 2014 12:09
par Claire.a73

Infection adware et pop up

Posté : ven. 11 juil. 2014 12:32
par g3n-h@ckm@n
hello

désinstalle McAfee Security Scan il sert à rien

==

par contre je sais pas comment tu te sers de ton pc mais tu t'es t'est completement réinfecté, tu peux relancer shortcut_module et faire un nettoyage après qu'il se soit mis à jour parce que là c'est un vrai carnage.

Re: Infection adware et pop up

Posté : ven. 11 juil. 2014 12:54
par Claire.a73
Salut,
Je relance ! Désolée, je n'ai absolument rien fait, je ne m'en sers pas juste pour faire les manip'. Ce n'est pas mon Pc c'est celui d'une copine, je l'aide juste à faire la désinfection. J'utilise mon pc pour te répondre la plus part du temps sauf pour poster les rapports.

Je te donne le rapport dès que c'est fini.

Infection adware et pop up

Posté : ven. 11 juil. 2014 12:59
par g3n-h@ckm@n
ok , sérieux je sais pas ce qu elle fait alors mais....

par contre si un compte mail est synchronisé avec le navigateur faut le désynchroniser

Re: Infection adware et pop up

Posté : ven. 11 juil. 2014 22:54
par Claire.a73
salut,
Voici le nouveau rapport.
J'ai vérifié il n'y a pas de compte gmail connecté.


http://cjoint.com/?3Glw1dw6pWz

a demain !

Infection adware et pop up

Posté : sam. 12 juil. 2014 00:56
par g3n-h@ckm@n
parfait tu referas OTL , avec les réglages , ensuite j'examinerai tes deux rapports , te rédigerai un script , et enfin nous pour faire la finalisation nettoyage des outils et sécurisation de la machine

Re: Infection adware et pop up

Posté : mar. 15 juil. 2014 18:17
par Claire.a73

Infection adware et pop up

Posté : mar. 15 juil. 2014 20:16
par g3n-h@ckm@n
désinstalle adobe reader 9 pas à jour

==

colle tout le contenu du cadre suivant en bas d'OTL et clique sur correction puis poste le rapport qui s'ouvrira au final via cjoint.com


:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}   
IE - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\shortcutff@gmail.com: C:\Users\NiNou\AppData\Roaming\Mozilla\Firefox\Profiles\sn41bvpx.default\extensions\shortcutff@gmail.com
FF - user.js - File not found
[2013/01/20 21:12:44 | 000,213,444 | ---- | M] () (No name found) -- C:\Users\NiNou\AppData\Roaming\Mozilla\Firefox\Profiles\0\extensions\torntv@torntv.com.xpi
CHR - homepage: http://istart.webssearches.com/?type=hp ... 6T9B29MY6X
O2 - BHO: (no name) - {11111111-1111-1111-1111-110511501105} - No CLSID value found.
O2 - BHO: (no name) - {11111111-1111-1111-1111-110511841188} - No CLSID value found.
O2 - BHO: (no name) - {146B9EF0-4EA1-16F2-7A8C-3EFD430FD47C} - No CLSID value found.
O2 - BHO: (no name) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - No CLSID value found.
O2 - BHO: (YoutubeAdblocker) - {440F7227-9D60-ABAB-00FE-2BF994F22023} - C:\Program Files\YoutubeAdblocker\CHgfVTJTV_.dll File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - No CLSID value found.
O2 - BHO: (JoNNiCoUpoon) - {BB048C6D-A78A-C7D7-92A6-B20414B8849A} - C:\ProgramData\JoNNiCoUpoon\aKlr.dll File not found
O2 - BHO: (no name) - {E0B3E801-6CD4-8C1A-A2D3-19B9E245382B} - No CLSID value found.
O2 - BHO: (no name) - {EF5625A3-37AB-4BDB-9875-2A3D91CD0DFD} - No CLSID value found.
O3 - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.
O3 - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-3848814629-3168861968-1887467859-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 9.0\Reader\Rear_sl.exe (Adobe Systems Incorporated)
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 c6.cpl,CMICtrlWnd File not found
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Real\RealPlayer\update\realscheexe (RealNetworks, Inc.)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} http://www.ma-config.com/plugins/MaConfig_6_5_0_3.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_14)   
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 10.51.2)   
[1 C:\Windows\*.tmp files - C:\Windows\*.tmp - ]
[2014/07/05 12:20:37 | 000,000,956 | ---- | M] () -- C:\Users\NiNou\Application Data\Microsoft\Internet Explorer\Quick Launch\337 GAMES.lnk
[2013/03/20 18:46:30 | 000,000,000 | ---D | M] -- C:\0ca7af56480e416108a9b901f7
[2014/04/01 22:34:58 | 000,000,000 | ---D | M] -- C:\ProgramData\APN   
[2014/07/07 17:59:47 | 000,000,000 | ---D | M] -- C:\ProgramData\JoNNiCoUpoon
[2014/07/07 17:58:13 | 000,000,000 | ---D | M] -- C:\ProgramData\YoutubeAdblocker
[2014/06/03 21:05:33 | 000,000,000 | ---D | M] -- C:\Users\NiNou\AppData\Local\JFileManager   
[2014/05/25 08:32:02 | 000,000,000 | ---D | M] -- C:\Users\NiNou\AppData\Local\Chromatic Browser
[2014/06/03 21:06:21 | 000,000,000 | ---D | M] -- C:\Program Files\JFileManager
[2013/09/08 18:23:11 | 000,000,000 | ---D | M] -- C:\Program Files\Software   
[2014/06/28 13:46:44 | 000,000,000 | ---D | M] -- C:\Program Files\SW-Booster   
[2014/06/03 21:11:18 | 000,000,000 | ---D | M] -- C:\Program Files\Uninstaller
[2014/07/07 17:59:42 | 000,000,000 | ---D | M] -- C:\Program Files\YoutubeAdblocker
[2014/06/03 22:03:26 | 000,002,814 | ---- | M] () -- C:\Windows\system32\Tasks\APSnotifierPP2
[2014/06/03 22:03:27 | 000,002,814 | ---- | M] () -- C:\Windows\system32\Tasks\APSnotifierPP3
[2013/01/07 13:27:01 | 000,003,540 | ---- | M] () -- C:\Windows\system32\Tasks\CreateChoiceProcessTask


:reg
[-HKEY_CURRENT_USER\Software\APN PIP]   
[-HKEY_CURRENT_USER\Software\f6dddbe768b913]
[-HKEY_CURRENT_USER\Software\RegisteredApplicationsEx]   
[-HKEY_LOCAL_MACHINE\Software\BrowserChoice]   
[-HKEY_LOCAL_MACHINE\Software\f6dddbe768b913]
[-HKEY_LOCAL_MACHINE\Software\fst]   
[-HKEY_LOCAL_MACHINE\Software\JFileManager]
[-HKEY_LOCAL_MACHINE\Software\PIP]   
[-HKEY_LOCAL_MACHINE\Software\{5F189DF5-2D05-472B-9091-84D9848AE48B}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DMUninstaller]
[HKEY_USERS\S-1-5-21-3848814629-3168861968-1887467859-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\337Games]

:commands
[emptytemp]

Re: Infection adware et pop up

Posté : ven. 18 juil. 2014 09:38
par Claire.a73
Bonjour,

Je t'envoie le rapport OTL http://www.cjoint.com/?3GsjD6aFFGa

Lors du redémarrage du PC, une fenêtre windows s'est ouverte pour me demander d'exécuter le programme "desktop". Voilà.
De plus, je suis obligée de passer par un autre PC pour pouvoir t'envoyer les messages. Le site me dit à chaque fois que le code de confirmation n'est pas le bon.


Bonne journée

Infection adware et pop up

Posté : ven. 18 juil. 2014 09:56
par g3n-h@ckm@n
menu demarrer/programmes/demarrage puis supprime le fichier desktop.ini

Re: Infection adware et pop up

Posté : ven. 18 juil. 2014 10:04
par Claire.a73
Le fichier démarrage est vide