[Résolu] Infecté par des PUP

[jijimbo]

Bonjour,

hier j'ai été infecté par des PUP (vuupc, etc.) en téléchargeant un logiciel via 01net. Outre le fait que je trouve ça dingue de se faire infecter via un site qui a l'air sérieux, j'appelle à l'aide pour savoir si je suis encore infecté et ce que je dois faire.

Pour info:
- j'ai passé un coup de MBAM hier en mode sans échec, il m'a trouvé 9 PUP, quarantaine et suppression (mais j'ai oublié d'enregistrer le log...)
- depuis, impossible de démarrer en mode sans échec (en tapotant F8 au démarrage ça fait des bip mais ça ne m'amène pas vers l'écran de choix pour démarrer en sans échec)
- mon panneau de configuration/désinstaller des programmes est corrompu: impossible de désinstaller des programmes.

Bref, il semble bien que l'infection ne soit pas finie...

J'ai un log hjt disponible en cas de besoin.

D'avance merci de votre aide!

[Malekal_morte]

Salut,

Pour la liste des programmes, je pense que c'est mort.


Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html

NOTE : Pour Firefox

[jijimbo]

Bonjour et merci pour la réponse!

c'est fait, voici le log

# AdwCleaner v3.023 - Rapport créé le 17/04/2014 à 15:23:07
# Mis à jour le 01/04/2014 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Jimbo - PC-DE-JIMBO
# Exécuté depuis : C:\Users\Jimbo\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Users\Jimbo\AppData\Local\genienext
Dossier Supprimé : C:\Users\Jimbo\AppData\Local\Mobogenie
Dossier Supprimé : C:\Users\Jimbo\AppData\Roaming\Mozilla\Firefox\Profiles\tc192cw7.default\Conduit
Fichier Supprimé : C:\Users\Jimbo\AppData\Roaming\Mozilla\Firefox\Profiles\tc192cw7.default\searchplugins\conduit-search.xml

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKLM\Software\Viewpoint

***** [ Navigateurs ] *****

-\\ Internet Explorer v9.0.8112.16533


-\\ Mozilla Firefox v28.0 (fr)

[ Fichier : C:\Users\Jimbo\AppData\Roaming\Mozilla\Firefox\Profiles\tc192cw7.default\prefs.js ]

Ligne Supprimée : user_pref("CT2269050..clientLogIsEnabled", true);
Ligne Supprimée : user_pref("CT2269050..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asmx/ReportDiagnosticsEvent");
Ligne Supprimée : user_pref("CT2269050..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/RegisterToolbarUninstallation");
Ligne Supprimée : user_pref("CT2269050.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Ligne Supprimée : user_pref("CT2269050.CurrentServerDate", "16-6-2011");
Ligne Supprimée : user_pref("CT2269050.DialogsAlignMode", "LTR");
Ligne Supprimée : user_pref("CT2269050.DialogsGetterLastCheckTime", "Thu Jun 16 2011 07:44:16 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.DownloadReferralCookieData", "");
Ligne Supprimée : user_pref("CT2269050.EMailNotifierPollDate", "Thu Jun 16 2011 07:44:17 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.FirstServerDate", "16-6-2011");
Ligne Supprimée : user_pref("CT2269050.FirstTimeFF3", true);
Ligne Supprimée : user_pref("CT2269050.GroupingServerCheckInterval", 1440);
Ligne Supprimée : user_pref("CT2269050.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Ligne Supprimée : user_pref("CT2269050.HasUserGlobalKeys", true);
Ligne Supprimée : user_pref("CT2269050.Initialize", true);
Ligne Supprimée : user_pref("CT2269050.InitializeCommonPrefs", true);
Ligne Supprimée : user_pref("CT2269050.InstallationAndCookieDataSentCount", 1);
Ligne Supprimée : user_pref("CT2269050.InstalledDate", "Thu Jun 16 2011 07:44:19 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.InvalidateCache", false);
Ligne Supprimée : user_pref("CT2269050.IsGrouping", false);
Ligne Supprimée : user_pref("CT2269050.IsMulticommunity", false);
Ligne Supprimée : user_pref("CT2269050.IsOpenThankYouPage", true);
Ligne Supprimée : user_pref("CT2269050.IsOpenUninstallPage", true);
Ligne Supprimée : user_pref("CT2269050.LanguagePackLastCheckTime", "Thu Jun 16 2011 07:44:19 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.LanguagePackReloadIntervalMM", 1440);
Ligne Supprimée : user_pref("CT2269050.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx");
Ligne Supprimée : user_pref("CT2269050.LastLogin_3.3.3.2", "Thu Jun 16 2011 07:44:16 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.LatestVersion", "3.3.3.2");
Ligne Supprimée : user_pref("CT2269050.Locale", "en");
Ligne Supprimée : user_pref("CT2269050.MCDetectTooltipHeight", "83");
Ligne Supprimée : user_pref("CT2269050.MCDetectTooltipUrl", "hxxp://@[email protected]/rank/tooltip/?version=1");
Ligne Supprimée : user_pref("CT2269050.MCDetectTooltipWidth", "295");
Ligne Supprimée : user_pref("CT2269050.RadioIsPodcast", false);
Ligne Supprimée : user_pref("CT2269050.RadioLastCheckTime", "Thu Jun 16 2011 07:44:19 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.RadioLastUpdateIPServer", "3");
Ligne Supprimée : user_pref("CT2269050.RadioLastUpdateServer", "129132338014870000");
Ligne Supprimée : user_pref("CT2269050.RadioMediaID", "12473383");
Ligne Supprimée : user_pref("CT2269050.RadioMediaType", "Media Player");
Ligne Supprimée : user_pref("CT2269050.RadioMenuSelectedID", "EBRadioMenu_CT226905012473383");
Ligne Supprimée : user_pref("CT2269050.RadioStationName", "Hotmix%20108");
Ligne Supprimée : user_pref("CT2269050.RadioStationURL", "hxxp://67.202.67.18:8082");
Ligne Supprimée : user_pref("CT2269050.SearchFromAddressBarIsInit", true);
Ligne Supprimée : user_pref("CT2269050.SearchInNewTabEnabled", true);
Ligne Supprimée : user_pref("CT2269050.SearchInNewTabIntervalMM", 1440);
Ligne Supprimée : user_pref("CT2269050.SearchInNewTabLastCheckTime", "Thu Jun 16 2011 07:44:16 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_TOOLBAR_ID");
Ligne Supprimée : user_pref("CT2269050.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageService.asmx/UsersRequests?ctid=EB_TOOLBAR_ID");
Ligne Supprimée : user_pref("CT2269050.ServiceMapLastCheckTime", "Thu Jun 16 2011 07:44:13 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.SettingsLastCheckTime", "Thu Jun 16 2011 07:44:13 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.SettingsLastUpdate", "1306825755");
Ligne Supprimée : user_pref("CT2269050.ThirdPartyComponentsInterval", 504);
Ligne Supprimée : user_pref("CT2269050.ThirdPartyComponentsLastCheck", "Thu Jun 16 2011 07:44:13 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.ThirdPartyComponentsLastUpdate", "1246786978");
Ligne Supprimée : user_pref("CT2269050.TrusteLinkUrl", "hxxp://trust.conduit.com/CT2269050");
Ligne Supprimée : user_pref("CT2269050.UserID", "UN19680438987364457");
Ligne Supprimée : user_pref("CT2269050.WeatherNetwork", "");
Ligne Supprimée : user_pref("CT2269050.WeatherPollDate", "Thu Jun 16 2011 07:44:18 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.WeatherUnit", "C");
Ligne Supprimée : user_pref("CT2269050.alertChannelId", "666138");
Ligne Supprimée : user_pref("CT2269050.generalConfigFromLogin", "{\"SocialDomains\":\"social.conduit.com;apps.conduit.com;services.apps.conduit.com\",\"AppsDetectionUrlPattern\":\"hxxp://appdownload.conduit.com/\"}");
Ligne Supprimée : user_pref("CT2269050.globalFirstTimeInfoLastCheckTime", "Thu Jun 16 2011 07:44:17 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.isAppTrackingManagerOn", true);
Ligne Supprimée : user_pref("CT2269050.myStuffEnabled", true);
Ligne Supprimée : user_pref("CT2269050.myStuffPublihserMinWidth", 400);
Ligne Supprimée : user_pref("CT2269050.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOrigin=29&ctid=EB_TOOLBAR_ID&octid=EB_ORIGINAL_CTID");
Ligne Supprimée : user_pref("CT2269050.myStuffServiceIntervalMM", 1440);
Ligne Supprimée : user_pref("CT2269050.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?ComponentId=EB_MY_STUFF_INSTANCE_GUID&lut=EB_MY_STUFF_LUT");
Ligne Supprimée : user_pref("CT2269050.testingCtid", "");
Ligne Supprimée : user_pref("CT2269050.toolbarAppMetaDataLastCheckTime", "Thu Jun 16 2011 07:44:16 GMT+0200");
Ligne Supprimée : user_pref("CT2269050.toolbarContextMenuLastCheckTime", "Thu Jun 16 2011 07:44:19 GMT+0200");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2269050", "\"1280146508\"");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&locale=en", "wVmmvqqOMqrv5xct1cJIHg==");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&locale=en", "0uSPYx+Kl2jpu8sJZMeHjw==");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&locale=en", "Dclc8oo4TTv7+mAkSlUSWg==");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&locale=en", "K4Vqu91uAzWURlxJRdXJOg==");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\"803651ba7facb1:0\"");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3.2", "\"07b2625f8cb1:0\"");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.3.2", "\"07b2625f8cb1:0\"");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2269050", "\"634434930587600000\"");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "634356118310000000");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2269050/CT2269050", "\"1306825755\"");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Bluenote/equalizer_dead.gif", "\"0a8c48d3330c81:0\"");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Bluenote/minimize.gif", "\"0e2106f3030c81:0\"");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Bluenote/play.gif", "\"0f475394430c81:0\"");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Bluenote/stop.gif", "\"08d9ef44430c81:0\"");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Bluenote/vol.gif", "\"066e8863030c81:0\"");
Ligne Supprimée : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"634432176643630000\"");
Ligne Supprimée : user_pref("CommunityToolbar.EngineOwner", "CT2269050");
Ligne Supprimée : user_pref("CommunityToolbar.EngineOwnerGuid", "{872b5b88-9db5-4310-bdd0-ac189557e5f5}");
Ligne Supprimée : user_pref("CommunityToolbar.EngineOwnerToolbarId", "dvdvideosofttb");
Ligne Supprimée : user_pref("CommunityToolbar.IsEngineShown", true);
Ligne Supprimée : user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true);
Ligne Supprimée : user_pref("CommunityToolbar.OriginalEngineOwner", "");
Ligne Supprimée : user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "");
Ligne Supprimée : user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "");
Ligne Supprimée : user_pref("CommunityToolbar.ToolbarsList", "CT2269050");
Ligne Supprimée : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Thu Jun 16 2011 07:44:16 GMT+0200");
Ligne Supprimée : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Ligne Supprimée : user_pref("CommunityToolbar.alert.locale", "en");
Ligne Supprimée : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Ligne Supprimée : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Thu Jun 16 2011 07:43:54 GMT+0200");
Ligne Supprimée : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559");
Ligne Supprimée : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Ligne Supprimée : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Ligne Supprimée : user_pref("CommunityToolbar.alert.showTrayIcon", false);
Ligne Supprimée : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Ligne Supprimée : user_pref("CommunityToolbar.alert.userId", "e5f5e6a8-86e2-46fa-bb2f-032dd951c5bc");
Ligne Supprimée : user_pref("CommunityToolbar.globalUserId", "ec776baa-2532-482a-aba4-7633c5a110ae");
Ligne Supprimée : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Ligne Supprimée : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://search.conduit.com/?gd=&ctid=CT3315513&octid=EB_ORIGINAL_CTID&ISID=MC4BBF564-04B2-4AE0-9CE7-8A4767643B4B&SearchSource=55&CUI=&UM=5&UP=SPD6D5A299-3B2A-4D8A[...]

*************************

AdwCleaner[R0].txt - [13151 octets] - [17/04/2014 15:21:29]
AdwCleaner[S0].txt - [13317 octets] - [17/04/2014 15:23:07]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [13378 octets] ##########


so what's up doc?

[Malekal_morte]

Pas grand chose!

Faire un Scan OTL - Temps : Environ 40min
=============================================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>

[jijimbo]

merci!

désolé du petit temps de réponse, le boulot, tout ça...

voici les liens pour OTL et Extras

http://pjjoint.malekal.com/files.php?id ... h9i15p12m7

et

http://pjjoint.malekal.com/files.php?id ... 6e15j712m7

[Malekal_morte]

Rapport OK,

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

[jijimbo]

Bonjour et merci pour ton aide.

J'ai cependant une dernière question. Je suis toujours un peu circonspect car mon panneau de configuration désinstaller des programmes a pris une allure bizarre. Les programmes n'y figurent plus en totalité et il n'y a plus l'option "désinstaller le programme"...

Du coup, complètement au hasard car je n'y connais rien, j'ai fait un scan roguekiller. Est-ce possible de regarder rapidement et de me dire s'il y a quelque chose de suspect?

http://pjjoint.malekal.com/files.php?id ... 2h7o6i15h5

merci beaucoup d'avance

[Malekal_morte]

C'est un des PUPs qui a supprimé la liste des programmes installés.

[jijimbo]

ok merci, et il y a une possibilité de restaurer ça ou c'est mort?

[Malekal_morte]

C'est mort :/

[jijimbo]

okok merci!

-> Résolu

[Malekal_morte]

Pas de problème

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/