Infection tenace UptUpdater

[romain13011]

Bonjour,

J'ai un pc qui a été infecté suite à l'installation accidentelle d'une fausse maj java (il semblerait), résultant l'installation d'une dizaines de programmes parasites et modifications des navigateurs (ajout d'extensions + moteur de recherche..etc).
J'ai désinstaller les applications parasites puis j'ai tenté essayé de nettoyer avec adwcleaner + malwarebytes. J'ai aussi fais un scan au démarrage avec avast et supprimé les extensions indésirables de chrome/IE.

Mais rien n'y fait, à chaque redémarrage de la machine, malwarebytes me bloque "AptUpdater.exe" toute les 5mins et avast online security bloque une parites de pages webs malicieuse qui pop toutes les 2 minutes.
de plus, impossible de cliquer sur un lien sans être redirigé vers des URL malicieuses.
Aussi, le PC est très lent depuis l'infection.

J'ai refait un scan AdwCleaner aujourd'hui :

# Nom d'utilisateur : CPE - CPE-PC
# Exécuté depuis : C:\Users\CPE\Downloads\adwcleaner_4.101.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Upt

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17420


-\\ Google Chrome v38.0.2125.111


*************************

AdwCleaner[R0].txt - [42598 octets] - [14/11/2014 09:11:43]
AdwCleaner[R1].txt - [1609 octets] - [14/11/2014 12:21:23]
AdwCleaner[R2].txt - [1060 octets] - [14/11/2014 12:27:40]
AdwCleaner[R3].txt - [1294 octets] - [14/11/2014 12:33:41]
AdwCleaner[R4].txt - [1241 octets] - [14/11/2014 12:39:09]
AdwCleaner[R5].txt - [1381 octets] - [14/11/2014 13:52:27]
AdwCleaner[R6].txt - [1362 octets] - [17/11/2014 12:13:29]
AdwCleaner[S0].txt - [16238 octets] - [14/11/2014 09:14:30]
AdwCleaner[S1].txt - [1682 octets] - [14/11/2014 12:23:57]
AdwCleaner[S2].txt - [1123 octets] - [14/11/2014 12:30:23]
AdwCleaner[S3].txt - [1284 octets] - [17/11/2014 12:19:08]

########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [1344 octets] ##########

Je ne sais plus trop quoi faire, aussi je me tourne vers vous pour demander un peu d'aide.
Par avance je vous remercie,

Cordialement.

[Malekal_morte]

Salut,

Il manque l'en-tête du rapport AdwCleaner.

[romain13011]

ah oui désolé:

# AdwCleaner v4.101 - Rapport créé le 17/11/2014 à 12:19:08
# Mis à jour le 09/11/2014 par Xplode
# Database : 2014-11-16.1 [Live]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

[Malekal_morte]

Suis ce tutoriel FRST: https://www.malekal.com/tutorial-farbar ... tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

[romain13011]

Bonjour, voici les logs FRST:

frst.txt: http://pjjoint.malekal.com/files.php?id ... 8w14l9y9b9
addition.txt: http://pjjoint.malekal.com/files.php?id ... q13v9j14p9
shortcut.txt: http://pjjoint.malekal.com/files.php?id ... 2j14g10f12

[Malekal_morte]

Tu as Adware.Pirrit - il est un peu pénible à virer.


Déjà note la procédure pour supprimer les proxys sur Internet Explorer : http://forum.malekal.com/supprimer-prox ... 47404.html

Affiche les fichiers cachés et systèmes : http://www.commentcamarche.net/faq/825- ... us-windows

Ensuite télécharge et installe Unlocker.
Lis bien ce qui est écrit sur la page suivante car des programmes parasites te seront proposés, suis les explications ne pas les installer.

http://forum.malekal.com/unlocker-t49478.html

Ensuite, lance Unlocker et navigue dans tes dossiers pour supprimer les dossiers suivants
Clic droit sur le dossier et Unlocker.
C:\Windows\SysWOW64\DaemonPythonWiget
C:\Users\CPE\AppData\Local\BIOSDebugFirmware
C:\Users\CPE\AppData\Local\CheckCode


Tu mets effacer à chaque fois.
Surtout aucun redémarrage entre chaque suppression.

Quand tu as fait effacer sur tous les dossiers, redémarre l'ordinateur s'il te dit qu'il faut redémarrer pour que la supression se fasse.

Au redémarrage, si le proxy est active, désactive le.

Refais un scan FRST et donne le rapport.

[romain13011]

Voila , c'est fait.
Parce contre, il n'y avait pas de proxys coché dans IE ni chrome.

Aussi, j'ai du m'y reprendre a 2 fois avec unlcoker:

1er essai:
planification de suppression de C:\Windows\SysWOW64\DaemonPythonWiget

Mais lors de la suppression du dossier C:\Users\CPE\AppData\Local\BIOSDebugFirmware, Windows a lancer une erreur système et un arrêt système. Je n'ai pas pu empécher le reboot, malgré shortcut /a.

au 2ème essai après reboot:
C:\Windows\SysWOW64\DaemonPythonWiget avait bien été supprimé.

j'ai pu planifier la suppression de:
C:\Users\CPE\AppData\Local\BIOSDebugFirmware
C:\Users\CPE\AppData\Local\CheckCode

Après redémmarage, les dossiers ne sont plus présent cette fois.
Voici les nouveaux logs FRST:
frst.txt: http://pjjoint.malekal.com/files.php?id ... g10h9m1211
addition.txt: http://pjjoint.malekal.com/files.php?id ... r6s12i9s12
shortcut.txt: http://pjjoint.malekal.com/files.php?id ... 7h13m12b10

[Malekal_morte]

yep, ca semble bon.

Pour terminer le nettoyage :


Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :

S2 BIOSDebugFirmware.exe; C:\Users\CPE\AppData\Local\BIOSDebugFirmware\BIOSDebugFirmware.exe [X]
S2 DaemonPythonWiget; C:\Windows\SysWOW64\DaemonPythonWiget\DaemonPythonWiget.exe [X]


Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Si FRST ne l'a pas fait, redémarre l'ordinateur.

[romain13011]

Voici le fixlog.txt:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 17-11-2014
Ran by CPE at 2014-11-18 11:32:53 Run:1
Running from C:\Users\CPE\Desktop
Loaded Profile: CPE (Available profiles: UpdatusUser & CPE & Invité)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
S2 BIOSDebugFirmware.exe; C:\Users\CPE\AppData\Local\BIOSDebugFirmware\BIOSDebugFirmware.exe [X]
S2 DaemonPythonWiget; C:\Windows\SysWOW64\DaemonPythonWiget\DaemonPythonWiget.exe [X]
*****************

BIOSDebugFirmware.exe => Service deleted successfully.
DaemonPythonWiget => Service deleted successfully.

==== End of Fixlog ====

[Malekal_morte]

Quelques conseils :

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/malwarebyte-ant ... les-virus/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

[romain13011]

Merci pour votre aide.

Malheureusement, j'ai encore eu des soucis par la suite:

1) J'ai reconnecté la machine au réseau et je me suis aperçu que les dns avait été modifiés.
J'ai rétabli la configuration dns de mon réseau manuellement (et ç'est resté depuis).

2)j'ai relancé chrome et :





j'avais l'extension "saleitcoupon" qui s'était re-installé (alors que j'avais tout supprimé précédemment).
J'ai supprimé l'extension et je n'ai plus eu de popups malicieuses.

Par contre j'avais cet onglet 'vous' lié a un profil utilisateur dans chrome.
J'ai beau supprimer le profil utilisateur, chrome en rencréé un autre immédiatement.

Aussi j'ai completement désinstallé chrome.

Et j'ai supprimé les dossiers:

C:\Users\CPE\AppData\Local\Google qui était vide.
C:\Users\Invité\AppData\Local\Google\qui lui contenait plusieurs dossiers, profils, extension..

Pour info, le compte invité était actif lors de l'infection vendredi dernier, je l'ai désactivé des que j'ai eu le PC entre les mains.


Un coup de ccleaner, reboot.

Réinstallation de chrome et ça avait l'air OK cette fois (Plus de multiples profils utilisateurs, plus d'onglet 'vous')

Par contre le PC est resté assez lent au démarrage et les navigateurs (IE/chrome) sont long à se lancer aussi.

J'ai refait un scan malwarebytes (qui n'a rien detecté) et un scan AdwCleaner que voici:


# AdwCleaner v4.101 - Rapport créé le 18/11/2014 à 15:28:40
# Mis à jour le 09/11/2014 par Xplode
# Database : 2014-11-16.1 [Live]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : CPE - CPE-PC
# Exécuté depuis : C:\Users\CPE\Downloads\adwcleaner_4.101.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Upt
Clé Supprimée : HKLM\SOFTWARE\WinUpd
Clé Supprimée : HKLM\SOFTWARE\SI-App
Clé Supprimée : HKLM\SOFTWARE\RST
Clé Supprimée : [x64] HKLM\SOFTWARE\Upt
Clé Supprimée : [x64] HKLM\SOFTWARE\WinUpd
Clé Supprimée : [x64] HKLM\SOFTWARE\SI-App
Clé Supprimée : [x64] HKLM\SOFTWARE\RST

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17420


-\\ Google Chrome v38.0.2125.122


*************************


Etait-ce simplement un relicat, ou suis-je toujours infecté ?
cordialement

[Malekal_morte]

FRST doit louper des extensions sur Google, car on ne voit pas d'extensions "saleitcoupon"

mais si tu as désinstaller Google Chrome en supprimant les profils, c'est good.

[romain13011]

Ok cool
Encore merci pour votre aide.

[angelique]

c'est normal ce service ?

R2 JobAES; c:\alise\exe\JobAES.exe [1591296 2013-10-14] () [File not signed]

[romain13011]

c'est normal ce service ?

R2 JobAES; c:\alise\exe\JobAES.exe [1591296 2013-10-14] () [File not signed]

Oui oui c'est normal, logiciel de gestion cantine scolaire:

http://www.alise.net/logiciels/arc-en-self.htm