virus reveton : Boxore et glindorus

[spyckerois59380]

bonsoir

un ami a ete victime du virus hadopi la variante vereton j'ai reussi a l'enlever en faisant une reparation systeme
ma question est pouvez vous svp m'aider a completement nettoyer son pc

[angelique]

• Téléchargez OTL sur votre Bureau.
  
  ou:
  
  OTL com
  
  OTL scr
  
  
  ou:
  
  OTL com
  
  OTL scr
• Faites un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous vista|seven). Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
• Quand la fenêtre apparaît, sous Rapport en haut, cochez Rapport minimal, ainsi que all users
• Sous Registre: standard cochez Tous.
• Cochez les cases à coté de Recherche Lop et Recherche Purity.
• Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation":
  

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %SYSTEMDRIVE%\*.exe
  /md5start
  services.exe
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  atapi.sys
  afd.sys
  ipsec.sys
  netbt.sys
  tcpip.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\System32\config\*.sav
  CREATERESTOREPOINT

• Cliquez sur le bouton Analyse. Ne modifiez aucun paramètre sans qu'on vous ait dit de le faire. L'analyse ne va pas durer longtemps.
  • Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.
  • Veuillez copier (Edition->Sélectionner tout, Edition->Copier) le contenu de ces fichiers, l'un après l'autre, et envoyez-les dans votre prochaine réponse.
  • Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse
    
    
    
    tuto : https://www.malekal.com/tutorial_OTL.php

[spyckerois59380]

bonsoir pour votre aide
voici les 2 rapport
http://pjjoint.malekal.com/files.php?id ... b6c12f11x6
http://pjjoint.malekal.com/files.php?id ... c7g1511s13
merci de votre reponse

[Malekal_morte]

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
SRV - (Software_update_m) -- C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe (The Software Group)
SRV - (Software_update) -- C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe (The Software Group)
SRV - (Update glindorus) -- C:\Program Files (x86)\glindorus\updateglindorus.exe (glindorus)
FF - HKLM\Software\MozillaPlugins\@tools.Software.com/Software Update;version=3: C:\Program Files (x86)\Software\Update\1.3.25.0\npSoftwareUpdate3.dll (The Software Group)
FF - HKLM\Software\MozillaPlugins\@tools.Software.com/Software Update;version=9: C:\Program Files (x86)\Software\Update\1.3.25.0\npSoftwareUpdate3.dll (The Software Group)
[2013/01/20 12:00:55 | 000,000,000 | ---D | M] (uTorrentBar_FR) -- C:\Users\admin\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
O2 - BHO: (glindorus) - {9598e82a-7e09-4438-b425-b9e9718c3c73} - C:\Program Files (x86)\glindorus\glindorusBHO.dll (glindorus)
O3 - HKU\S-1-5-21-845185023-1539853947-3211286675-1001\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
O4 - HKLM..\Run: [Boxore Client] C:\Program Files (x86)\Boxore\BoxoreClient\boxore.exe File not found
O4 - HKLM..\Run: [fst_fr_9] C:\Program Files (x86)\fst_fr_9\fst_fr_9.exe File not found
O4 - HKU\S-1-5-21-845185023-1539853947-3211286675-1001..\Run: [Hot Keyboard] C:\Program
O4 - HKLM..\RunOnce: [upfst_fr_9.exe] C:\Users\admin\AppData\Local\fst_fr_9\upfst_fr_9.exe ()
[2013/10/15 02:35:42 | 000,000,000 | ---D | C] -- C:\ProgramData\BoxUpdChk
[2013/10/15 02:35:40 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Boxore
[2013/10/15 02:33:40 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\fst_fr_9
[2013/10/15 02:33:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Freesofttoday
[2013/10/15 02:33:39 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\fst_fr_9
[2013/10/15 02:33:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Software
[2013/10/15 02:33:12 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\Software
[2013/10/15 02:33:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\glindorus
:Commands
[emptytemp]
[emptyflash]
[resethosts]
[reboot]

* poste le rapport ici

[spyckerois59380]

http://pjjoint.malekal.com/files.php?id ... 11t7v12v14

[Malekal_morte]

Télécharge et installe Malwarebyte : https://www.malekal.com/malwarebyte-ant ... les-virus/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté - puis bouton supprimer sélection pour tout supprimer.

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.

[spyckerois59380]

bonsoir
je ne trouve plus le rapport malwarebyte apres le redemarrage

[spyckerois59380]

excuser moi
voici le rapport
Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.10.16.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
admin :: ADMIN-PC [administrateur]

Protection: Activé

16/10/2013 18:17:28
mbam-log-2013-10-16 (18-17-28).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 827388
Temps écoulé: 4 heure(s), 34 minute(s), 49 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 4
HKCR\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} (PUP.Optional.BrowseFox.A) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23} (PUP.Optional.BrowseFox.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Boxore (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Freesofttoday (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 3
C:\Users\admin\AppData\Local\Temp\CT3288691 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Local\Temp\CT3297124 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Local\Temp\CT3297861 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 9
C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7N2FR6W7\mism[1].exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SBRU2ZCT\checktbexist[1].exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\20b07c.msi (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\10152013_232423\C_Program Files (x86)\Software\Update\Download\{5B54E9B6-D6C4-11E0-8E9D-92FB4824019B}\4.6.0.0\BoxoreInstaller_4.6.0.0.msi (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Local\Temp\CT3288691\chromeid.txt (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Local\Temp\CT3288691\setup.ini.txt (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Local\Temp\CT3297124\ism.exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Local\Temp\CT3297861\chromeid.txt (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Local\Temp\CT3297861\setup.ini.txt (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

(fin)

[angelique]

. supprime c:\_OTL , vide la qurantaine de MBAM


==> Prendre le temps de lire :: http://forum.malekal.com/les-exploits-s ... t3563.html


Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/

Il est nécessaire de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer JavaScript, flash et\ou Iframe pourries sur sites compromis potentiellement générateur d'infection !!


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock



List FR + EasyList << à mettre à jour regulièrement ainsi que les autres





NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/