[RESOLU] Infection multiple récalcitrante

[Sisko]

Bonjour,

étant lecteur de ce forum depuis longtemps , j'ai toujours réussi à me débrouiller tout seul en lisant les posts.

Aujourd'hui je me suis inscrit car je suis exactement dans la même situation que lemoquoi--->http://forum.malekal.com/mypc-backup-gr ... ml#p388762 mais forcement je ne peux pas utiliser le même "text" pour FRST que pour son cas.

Le Pc ne m'appartiens pas donc je ne sais pas grand chose sur comment c'est arrivé à part : téléchargement de I.E spécial Orange et Skype by ....un site connu pour ajouter des truc dans les installes. (que je ne citerai pas)

J'ai donc : MyPC Backup, remote desktop acess (VuuPc), webssearches uninstall, wincheck , ect qui reviennent en boucle.

J'ai utilisé : ADWCleaner/Malwarebyte/Kaspersky en live CD/Vidé tout le "temp"/ré-initialisé I.E et Firefox/refais le "host" à la main/fait du ménage dans "regedit" à la main aussi......

Merci à vous de bien vouloir m'aider.

Rapport ADWCleaner : vierge après 2 passages
Rapport FRST : http://pjjoint.malekal.com/files.php?id ... n7l9e13u12
http://pjjoint.malekal.com/files.php?id ... 13l1211e11
http://pjjoint.malekal.com/files.php?id ... d12k11o7o5

J'ai aussi sous le coude : un rapport GSI et un rapport Hijackthis...Je peux aussi faire un rapport ZHPDiag si besoin.

Merci encore.

[angelique]

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  Task: {0A23C615-7B3F-4CCC-85AE-EC4BF805D66A} - System32\Tasks\gameo_update => C:\Users\Jean-Louis\AppData\Roaming\Gameo\gameo.exe
  Task: {0F9D399F-D649-4C35-9F0E-66C9B6AB9176} - System32\Tasks\ZRT => C:\Users\Jean-Louis\AppData\Roaming\ZRT.exe <==== ATTENTION
  Task: {3B99719D-0D6D-4D6F-8F86-46E880361DA0} - System32\Tasks\SIfuy2yDmxYk2wU => C:\Users\Jean-Louis\AppData\Roaming\nGAmn3g\1vcCMue.exe [2014-12-05] ( )
  Task: {8E013200-3300-4668-A5D2-3B104CFABF98} - System32\Tasks\{EEB92BDC-A813-46E0-B755-4BD4BDDED14B} => pcalua.exe -a C:\Users\Jean-Louis\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=slbnew
  Task: {B0AA2086-69E3-4DF4-8887-EE95C0972879} - System32\Tasks\PFHQ => C:\Users\Jean-Louis\AppData\Roaming\PFHQ.exe <==== ATTENTION
  Task: {E94F9B12-7E3E-4E61-9944-CC73C90A3A06} - System32\Tasks\wXrIxXZYVB0IfZp => C:\Users\Jean-Louis\AppData\Roaming\9ajo1hd\4oB6xOG.exe [2014-12-05] ( )
  Task: C:\Windows\Tasks\MVVDSGW.job => C:\Users\Jean-Louis\AppData\Roaming\MVVDSGW.exe <==== ATTENTION
  Task: C:\Windows\Tasks\PFHQ.job => C:\Users\Jean-Louis\AppData\Roaming\PFHQ.exe <==== ATTENTION
  Task: C:\Windows\Tasks\RSA.job => C:\Users\Jean-Louis\AppData\Roaming\RSA.exe <==== ATTENTION
  Task: C:\Windows\Tasks\ZRT.job => C:\Users\Jean-Louis\AppData\Roaming\ZRT.exe <==== ATTENTION
  HKLM-x32\...\Run: [WinCheck] => C:\Users\Jean-Louis\AppData\Local\wincheck\wincheck.exe
  FF Extension: No Name - C:\Users\Jean-Louis\AppData\Roaming\Mozilla\Firefox\Profiles\elpw8z7y.default-1418890951636\extensions\[email protected] [Not Found]
  FF Extension: No Name - C:\Users\Jean-Louis\AppData\Roaming\Mozilla\Firefox\Profiles\elpw8z7y.default-1418890951636\extensions\[email protected] [Not Found]
  FF Extension: No Name - f[email protected] [Not Found]
  FF Extension: No Name - [email protected] [Not Found]
  S2 eb12ba5e; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.13\OptProMon.dll",ENT
  S2 pythonthumbnail_64.exe; C:\Users\Jean-Louis\AppData\Local\pythonthumbnail_64\pythonthumbnail_64.exe [X]
  2014-12-16 15:52 - 2014-12-19 17:05 - 00001354 _____ () C:\Windows\Tasks\PFHQ.job
  2014-12-16 15:52 - 2014-12-19 17:05 - 00001352 _____ () C:\Windows\Tasks\ZRT.job
  2014-12-16 15:52 - 2014-12-16 15:52 - 00004400 _____ () C:\Windows\System32\Tasks\PFHQ
  2014-12-16 15:52 - 2014-12-16 15:52 - 00004398 _____ () C:\Windows\System32\Tasks\ZRT
  2014-12-16 15:52 - 2014-12-16 15:52 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
  2014-12-16 15:51 - 2014-12-16 15:53 - 00000000 ____D () C:\rei
  2014-12-16 14:55 - 2014-12-16 14:55 - 00000000 ____D () C:\ProgramData\PDFC
  2014-12-05 15:15 - 2014-12-05 16:43 - 00001704 _____ () C:\Windows\Tasks\MVVDSGW.job
  2014-12-05 15:15 - 2014-12-05 16:43 - 00001352 _____ () C:\Windows\Tasks\RSA.job
  2014-12-05 15:13 - 2014-12-05 15:13 - 00003290 _____ () C:\Windows\System32\Tasks\CH24EmHnl4qkJgy
  2014-12-05 15:13 - 2014-12-05 15:13 - 00003250 _____ () C:\Windows\System32\Tasks\SIfuy2yDmxYk2wU
  2014-12-05 15:13 - 2014-12-05 15:13 - 00003248 _____ () C:\Windows\System32\Tasks\wXrIxXZYVB0IfZp
  2014-12-05 15:13 - 2014-12-05 15:13 - 00000000 ____D () C:\Users\Jean-Louis\AppData\Roaming\qIbY2Td
  2014-12-05 15:13 - 2014-12-05 15:13 - 00000000 ____D () C:\Users\Jean-Louis\AppData\Roaming\nGAmn3g
  2014-12-05 15:13 - 2014-12-05 15:13 - 00000000 ____D () C:\Users\Jean-Louis\AppData\Roaming\9ajo1hd
  2014-12-05 15:13 - 2014-12-05 15:13 - 00000000 ____D () C:\ProgramData\atjs
  2014-12-05 15:10 - 2014-12-05 15:10 - 00000000 ____D () C:\Users\Jean-Louis\AppData\Local\node-webkit
  C:\Users\Jean-Louis\AppData\Roaming\9ajo1hd
  C:\Users\Jean-Louis\AppData\Roaming\nGAmn3g
  C:\Users\Jean-Louis\AppData\Roaming\Gameo
  C:\Users\Jean-Louis\AppData\Local\wincheck
  EmptyTemp:

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

et voit si c'est mieux ?

[Sisko]

Merci , je test tout de suite et je reviens dire si c'est mieux.

Je refais un rapport dans la foulée ou pas ?

EDIT : désolé j'avais pas vu pour le "fixlog"

[angelique]

Tu constates d'abord si c'est mieux.

[Sisko]

Alors ....j'ai relancé deux fois la bécane , branché le net , ouvert I.E et Firefox.....tout semble normal pour le moment---> pas de pages/pub bizarre , pas de logiciels qui revient , pas de processus louche qui ce lance.

Alors un grand merci pour le moment....en espérant que ça tienne.

Par contre , même si je sais très bien que le meilleur antivirus c'est l'interface clavier/chaise...que puis-je faire pour éviter que cette personne soit de nouveau contaminé au premier faux clic ?

Rien j'imagine ? J'ai beau être pédagogue en la matière , si on ne m'écoute pas.....je n'y peux rien.

[angelique]

supprime le proxy Internet explorer :

ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled.
ProxyServer: [.DEFAULT] => http=127.0.0.1:62209;https=127.0.0.1:62209

ça peut interférer dans certain process de maj de certaines applications, voir > http://www.commentcamarche.net/faq/2826 ... -son-proxy

➫ relance adwcleaner et clic desinstaller


➫ supprime frst.exe, ses rapports et C:\FRST


➫ Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


➫ Il est important de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer flash ( voir 3 - Le format SWF (Flash) et les risques liés à son utilisation - http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html - ), JavaScript, et\ou Iframe pourries sur sites compromis potentiellement générateur d'infections ( - http://forum.malekal.com/les-exploits-s ... t3563.html - )!! mais peut être handicapant pour un utilisateur lambda sans "formation"


Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/ < https://download.mozilla.org/?product=f ... in&lang=fr > ou setup d'installation hors ligne > http://www.mozilla.org/en-US/firefox/all/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock : chrome://adblockplus/content/ui/firstRun.html



List FR + EasyList << à mettre à jour regulièrement ainsi que les autres





NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/ : http://www.commentcamarche.net/faq/1567 ... -obeissant

Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/


➮ Bloque la redirection , exemple > fake-player-t49065.html




= via about:config de firefox




La conséquence de protection :

[Sisko]

Je m'y colle tout de suite.....Par contre je vais effectivement mettre AD/NS sur son Pc mais je pense pas que la personne concerné lira les conseils qui sont donnés sur les liens qui sont donné ici......dommage car ça calme "le clic frénétique" et ça évite le temps perdu pour rien (2 jours et demi que je bosse sur son problème )

[angelique]

(2 jours et demi que je bosse sur son problème)

Message par Sisko » 19 Déc 2014 18:00 = probleme >>>> Message par Sisko » 19 Déc 2014 18:52 probleme moins pire ou resolu =

@++

[Sisko]

Je vais passer en résolu (si je trouve comment) par contre je crois que d'avoir transféré la clé usb de son pc au mien plusieurs fois (pour prendre les rapports et les poster du mien ) ça a aussi transféré les cochonneries : j'ai une page qui viens de s'ouvrir toute seule pour me demander d'installer la dernière version de flash alors que j'ai bien la dernière et l'URL était bidon......

[angelique]

ce n'est pas le genre "d'infection" qui se transmet par USB ! c'est du javascript ou regie de pubs sur un lien consulté.

c'est tres à la mode , ça rapporte de l'argent aux créateurs, on vit en temps de crise que même 01net, clubic et autres sites pignons sur ѠebRue s'y collent.
en gros les Ѡindosiens qui chargent n'importe quoi sont certains de se faire pourrir par ces PUPS !

[Sisko]

Ok alors je vais regarder de plus près......Pourtant je fais vraiment attention à ce que je clic/charge......et je charge toujours sur le site de l'éditeur en prenant soin de bien décocher les "adds"

Merci encore pour l'aide : réactif - simple - clair - précis - efficace....que demander de plus.

[angelique]

et je charge toujours sur le site de l'éditeur en prenant soin de bien décocher les "adds"

Oui mais non, prévilégie le zip sans install [sur le site de l'editeur..certes pas tous.. faut qu'il vive] plutot que le setup qui de part son setup propose des logiciels additionnels.

[Sisko]

Oui mais non, prévilégie le zip sans install [sur le site de l'editeur..certes pas tous.. faut qu'il vive] plutot que le setup qui de part son setup propose des logiciels additionnels.

C'est noté , je vais faire attention à ça.

Pour le résolu , c'était bien à la main qu'il fallait le faire ? Ou il y a un bouton caché....