Infection par des pubs

Hikari1993 · par **Hikari1993** » 16 janv. 2015 18:01

Bonjour tout le monde,

alors voilà je me retrouve dans la même situation que l'auteur et j'ai donc suivi les différentes étapes fournies par le sujet. J'ai effectuer les différents scans et conserver les rapports. Pour le reste comme j'imagine que ce qu'il faudra mettre dans "fix" va dépendre de mes rapports je n'ai donc pas été plus loins.

Voici donc les différents rapports :

ADWcleaner : http://pjjoint.malekal.com/files.php?re ... 1k13e11s11

Additionnal.txt : http://pjjoint.malekal.com/files.php?re ... 12r10z13r8

FRST.txt : http://pjjoint.malekal.com/files.php?re ... 1n10k11p15

Shortcut.txt : http://pjjoint.malekal.com/files.php?re ... k7c14w13r6

Bon voila j'espère ne rien avoir oublier et que ça suffira :s.

par **angelique** » 16 janv. 2015 18:25

Tu télécharges n'importe quoi et fait n'importe quoi de ton Ѡindows ...

Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
Copie/colle dedans ce qui suit :

Task: {07CF9571-4B94-4C2F-A145-3755B32D3A14} - System32\Tasks\SimpleFiles Installer Starter => C:\Users\Damien\AppData\Local\Temp\SimpleFiles2K75FVt2wW.exe <==== ATTENTION
Task: {19C24A85-1BBB-48A2-A4FF-64CC9A0BAA1D} - System32\Tasks\SQAKP => C:\ProgramData\9a57dd4bfbdc41d9a41d3b8b62f45107\9a57dd4bfbdc41d9a41d3b8b62f45107.exe [2015-01-14] ()
C:\Users\Damien\AppData\Local\Temp\SimpleFiles2K75FVt2wW.exe
C:\ProgramData\9a57dd4bfbdc41d9a41d3b8b62f45107
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\cmwf.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\cmwr.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\cmwf.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CMWFP => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\cmwr.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ColorMedia => ""="service"
HKLM-x32\...\Run: [WinCheck] => C:\Users\Damien\AppData\Local\wincheck\wincheck.exe
HKU\S-1-5-21-2601892454-1318456193-1389639223-1002\...\Run: [Flvto Youtube Downloader] => C:\Users\Damien\AppData\Local\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe [493568 2014-11-26] (Hotger)
HKU\S-1-5-21-2601892454-1318456193-1389639223-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [Flvto Youtube Downloader] => C:\Users\Damien\AppData\Local\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe [493568 2014-11-26] (Hotger)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.8.150\SSScheduler.exe (McAfee, Inc.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Password.lnk
ShortcutTarget: Password.lnk -> C:\Windows\Temp\Password.exe (Freecom)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinZip Quick Pick.lnk
ShortcutTarget: WinZip Quick Pick.lnk -> C:\Program Files\WinZip\WZQKPICK32.EXE (WinZip Computing, S.L.)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: SpeeditUp -> {00303AB0-D80D-6793-96A4-B01790198B4B} -> C:\Program Files (x86)\ver0SpeeditUp\186_x64.dll ()
BHO-x32: SpeeditUp -> {00303AB0-D80D-6793-96A4-B01790198B4B} -> C:\Program Files (x86)\ver0SpeeditUp\186.dll ()
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll (McAfee, Inc.)
FF HKU\S-1-5-21-2601892454-1318456193-1389639223-1002\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: McAfee Security Scan Plus - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
FF HKU\S-1-5-21-2601892454-1318456193-1389639223-1002\...\Firefox\Extensions: [{09A29523-659E-5B10-EA0A-1632B50980B3}] - C:\Program Files (x86)\ver0SpeeditUp\186.xpi
FF Extension: SpeeditUp - C:\Program Files (x86)\ver0SpeeditUp\186.xpi [2015-01-15]
FF HKU\S-1-5-21-2601892454-1318456193-1389639223-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF HKU\S-1-5-21-2601892454-1318456193-1389639223-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Firefox\Extensions: [{09A29523-659E-5B10-EA0A-1632B50980B3}] - C:\Program Files (x86)\ver0SpeeditUp\186.xpi
FF Extension: No Name - C:\Users\Damien\AppData\Roaming\Mozilla\Firefox\Profiles\dtcpf8ie.default\extensions\[email protected] [Not Found]
FF Extension: No Name - C:\Users\Damien\AppData\Roaming\Mozilla\Firefox\Profiles\dtcpf8ie.default\extensions\[email protected] [Not Found]
R2 ColorMedia; C:\ProgramData\PicColor Utility\ColorMedia.exe [1398304 2015-01-07] (CartCrunch Israel Ltd.) [File not signed]
S2 serversu; C:\Users\Damien\AppData\Roaming\SoftwareUpdater\SUsrv.exe [X]
R1 cmwf; C:\Windows\system32\Drivers\cmwf.sys [33952 2015-01-07] () [File not signed]
R1 cmwr; C:\Windows\system32\Drivers\cmwr.sys [45216 2015-01-07] () [File not signed]
R2 webinstrNHKT; C:\Windows\system32\Drivers\webinstrNHKT.sys [56432 2015-01-15] (Corsica)
S2 CMWFP; \??\C:\Windows\system32\Drivers\CMWFP64.sys [X]
2015-01-15 22:05 - 2015-01-15 22:05 - 00003762 _____ () C:\Windows\System32\Tasks\SQAKP
2015-01-15 22:05 - 2015-01-15 22:05 - 00002033 _____ () C:\Windows\patsearch.bin
2015-01-15 22:05 - 2015-01-07 21:07 - 00045216 _____ () C:\Windows\system32\Drivers\cmwr.sys
2015-01-15 22:05 - 2015-01-07 21:07 - 00033952 _____ () C:\Windows\system32\Drivers\cmwf.sys
2015-01-15 22:04 - 2015-01-16 17:15 - 00008216 _____ () C:\Windows\SysWOW64\ColorMedia.ini
2015-01-15 22:04 - 2015-01-16 17:15 - 00004240 _____ () C:\Windows\SysWOW64\ColorMediaOff.ini
2015-01-15 22:04 - 2015-01-16 17:15 - 00004240 _____ () C:\Windows\system32\ColorMediaOff.ini
2015-01-15 22:04 - 2015-01-16 17:14 - 00000000 ____D () C:\ProgramData\PicColor Utility
2015-01-15 22:04 - 2015-01-15 22:04 - 00056432 _____ (Corsica) C:\Windows\system32\Drivers\webinstrNHKT.sys
2015-01-15 22:04 - 2015-01-15 22:04 - 00000000 ____H () C:\Windows\system32\Drivers\Msft_Kernel_webinstrNHKT_01009.Wdf
2015-01-15 22:04 - 2015-01-15 22:04 - 00000000 ____D () C:\ProgramData\9a57dd4bfbdc41d9a41d3b8b62f45107
2015-01-15 22:04 - 2015-01-15 22:04 - 00000000 ____D () C:\Program Files (x86)\ver0SpeeditUp
2015-01-15 22:03 - 2015-01-15 22:51 - 00003186 _____ () C:\Windows\System32\Tasks\SimpleFiles Installer Starter
2015-01-15 22:00 - 2015-01-15 22:02 - 03970624 _____ (New Monte Inc) C:\Users\Damien\Downloads\d_gray_man_downloader.exe
2015-01-15 22:00 - 2015-01-15 22:01 - 00472064 _____ () C:\Users\Damien\Downloads\d.gray.man__5547_i1448674879_il1266016.exe
2015-01-15 21:50 - 2015-01-15 21:50 - 00019731 _____ () C:\Users\Damien\Downloads\D.Gray-Man.Vol01.MULTI.DVDRip.x264-SHiNK3N.torrent
2015-01-15 21:44 - 2015-01-15 21:44 - 00100762 _____ () C:\Users\Damien\Downloads\D gray man.torrent
2015-01-15 16:51 - 2015-01-15 16:51 - 00221530 _____ () C:\Users\Damien\Downloads\Deadman Wonderland - Pack Integral (TV-Rip,720p,vostfr,mp4).torrent
2015-01-15 16:50 - 2015-01-15 16:50 - 00023984 _____ () C:\Users\Damien\Downloads\No Game No Life.torrent
C:\Users\Damien\AppData\Local\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe
C:\Users\Damien\AppData\Local\Temp\17EB1411-0D1A-6DF9-98D4-BDAC78646837.dll
C:\Users\Damien\AppData\Local\Temp\17EB1411-0D1A-6DF9-98D4-BDAC78646837.exe
C:\Users\Damien\AppData\Local\Temp\AE793DB8-DF2C-13B5-9D1E-6C1EF0B5B1EE.exe
C:\Users\Damien\AppData\Local\Temp\axfO1nAEOb.exe
C:\Users\Damien\AppData\Local\Temp\COMAP.EXE
C:\Users\Damien\AppData\Local\Temp\dLrkNgedwx.exe
C:\Users\Damien\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpdmavrq.dll
C:\Users\Damien\AppData\Local\Temp\Fvizq36uOc.exe
C:\Users\Damien\AppData\Local\Temp\l7gClfl09l.exe
C:\Users\Damien\AppData\Local\Temp\nToq9SvYPg.exe
C:\Users\Damien\AppData\Local\Temp\Quarantine.exe
C:\Users\Damien\AppData\Local\Temp\sbeT3kruMc.exe
C:\Users\Damien\AppData\Local\Temp\sdfB599.exe
C:\Users\Damien\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Damien\AppData\Local\Temp\SPSetup.exe
C:\Users\Damien\AppData\Local\Temp\sqlite3.dll
C:\Users\Damien\AppData\Local\Temp\swt-win32-3349.dll
C:\Users\Damien\AppData\Local\Temp\TzyvAFBbla.exe
C:\Users\Damien\AppData\Local\Temp\utt8659.tmp.exe
C:\Users\Damien\AppData\Roaming\SoftwareUpdater
C:\Users\Damien\AppData\Local\wincheck
C:\Program Files (x86)\ver0SpeeditUp
EmptyTemp:
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Ferme toutes les applications, y compris ton navigateur
Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

Un redémarrage peut être nécessaire (pas obligatoire).
L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
desinstalle:

- McAfee Security Scan

-----------------------------

Hikari1993 · par **Hikari1993** » 16 janv. 2015 18:45

Merci pour la réponse.

Voilà pour le rapport que j'ai eu :
http://pjjoint.malekal.com/files.php?re ... 4d6n6m7g10

par **angelique** » 16 janv. 2015 18:53

Refait un nouveau frst.txt & addition.txt

Hikari1993 · par **Hikari1993** » 16 janv. 2015 19:01

Voila les nouveaux rapports :

Addition.txt : http://pjjoint.malekal.com/files.php?re ... 12h8r13b10

FRST.txt : http://pjjoint.malekal.com/files.php?re ... 6m7s11y5w9

par **angelique** » 16 janv. 2015 19:14

Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
Copie/colle dedans ce qui suit :

Task: {07CF9571-4B94-4C2F-A145-3755B32D3A14} - \SimpleFiles Installer Starter No Task File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\cmwf.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\cmwr.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\cmwf.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\cmwr.sys => ""="Driver"
S2 ColorMedia; C:\ProgramData\PicColor Utility\ColorMedia.exe [X]
Duuqu Update Helper (x32 Version: 1.3.37.0 - Duuqu Group) Hidden <==== ATTENTION
REG: reg delete "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Duuqu Update Helper" /f
R1 cmwf; C:\Windows\system32\Drivers\cmwf.sys [33952 2015-01-07] () [File not signed]
R1 cmwr; C:\Windows\system32\Drivers\cmwr.sys [45216 2015-01-07] () [File not signed]
S2 CMWFP; \??\C:\Windows\system32\Drivers\CMWFP64.sys [X]
2015-01-15 22:05 - 2015-01-07 21:07 - 00045216 _____ () C:\Windows\system32\Drivers\cmwr.sys
2015-01-15 22:05 - 2015-01-07 21:07 - 00033952 _____ () C:\Windows\system32\Drivers\cmwf.sys
EmptyTemp:
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Ferme toutes les applications, y compris ton navigateur
Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

Un redémarrage peut être nécessaire (pas obligatoire).
L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
Execute apres telechargement > http://download.bleepingcomputer.com/sU ... Repair.exe

-----------------------------

Hikari1993 · par **Hikari1993** » 16 janv. 2015 19:33

Voila pour le dernier rapport de correction fixlog : http://pjjoint.malekal.com/files.php?re ... 6e10m6t5q7

par **angelique** » 16 janv. 2015 19:40

mouai pas cool !

=> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2015-01-16 19:30:42)<=

"C:\Windows\system32\Drivers\cmwr.sys" => File could not move.
"C:\Windows\system32\Drivers\cmwf.sys" => File could not move.

-------------------------

voir avec un autre outils qui se charge plus vite apres le noyau windows !

➫ Télécharge combofix.exe (par sUBs) » renomme le dans la fenetre de telechargement par COlaF , et sauvegarde le sur ton bureau , pas ailleurs!!!!!

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

➫ ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

Driver::
cmwf
CMWFP
File::
C:\Windows\system32\Drivers\cmwf.sys
C:\Windows\system32\Drivers\CMWFP64.sys

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
[*]Choisis "Enregistrer sous" et choisis "Bureau"
[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript
[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
[*]Quitte le Bloc Notes.
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* suis les instructions
* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Hikari1993 · par **Hikari1993** » 16 janv. 2015 20:34

Le rapport que j'ai obtenu avec combofix : http://pjjoint.malekal.com/files.php?re ... 14u13l11l6

par **angelique** » 17 janv. 2015 10:55

>> ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

Driver::
ColorMedia
cmwr
File::
c:\windows\system32\drivers\cmwr.sys
c:\windows\system32\drivers\cmwf.sys
Folder::
c:\programdata\PicColor Utility

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
[*]Choisis "Enregistrer sous" et choisis "Bureau"
[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript
[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
[*]Quitte le Bloc Notes.
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* suis les instructions
* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Hikari1993 · par **Hikari1993** » 17 janv. 2015 14:08

voila mon dernier rapport : http://pjjoint.malekal.com/files.php?re ... b6z6f14c15

par **angelique** » 17 janv. 2015 15:16

c'est bon , les merdouilles ont sautés.

➫ desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide:

Code : Tout sélectionner

"%userprofile%\Desktop\COlaF.exe" /uninstall

l'icone du bureau disparaitra apres desinstallation.

➫ supprime frst.exe, ses rapports et C:\FRST

➫ Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Hikari1993 · par **Hikari1993** » 17 janv. 2015 15:27

Super

. Merci beaucoup pour le temps accorder à résoudre mon problème et bonne continuation à vous

.

Malekal.com forum

Infection par des pubs

Infection par des pubs

Re: Infection par des pubs

Re: Infection par des pubs

Re: Infection par des pubs

Re: Infection par des pubs

Re: Infection par des pubs

Re: Infection par des pubs

Re: Infection par des pubs

Re: Infection par des pubs

Re: Infection par des pubs

Re: Infection par des pubs

Re: Infection par des pubs

Re: Infection par des pubs