Rapport AdwCleaner suite infection Crossbrowers

EloaNosca · par **EloaNosca** » 17 mai 2015 09:21

Bonjour,

Nous avons été infectés par l'installation de plusieurs petits logiciels notamment Crossborowers. J'ai trouvé un tuto Malekal sur le site commentçamarche.net, j'ai ensuite scanné l'ordi avec AdwCleaner. Voici le rapport, je n'y comprends pas grand chose c'est pourquoi je demande votre aide.

Merci d'avance !

# AdwCleaner v4.204 - Rapport créé le 16/05/2015 à 11:56:55
# Mis à jour le 12/05/2015 par Xplode
# Base de données : 2015-05-12.2 [Serveur]
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (x86)
# Nom d'utilisateur : Caroline - HP_DV7
# Exécuté depuis : C:\Users\Caroline\Downloads\adwcleaner_4.204.exe
# Option : Nettoyer

***** [ Services ] *****

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\NetEngine
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse
Dossier Supprimé : C:\Program Files\Crossbrowse
Dossier Supprimé : C:\Program Files\OLBPre
Dossier Supprimé : C:\Windows\system32\config\systemprofile\AppData\Local\WebBar
Dossier Supprimé : C:\Windows\system32\config\systemprofile\AppData\Local\SafeGuard
Dossier Supprimé : C:\Users\Caroline\AppData\Local\Crossbrowse
Dossier Supprimé : C:\Users\Caroline\AppData\Roaming\pdfforge
Fichier Supprimé : C:\Users\Public\Desktop\crossbrowse.lnk
Fichier Supprimé : C:\Users\Caroline\AppData\Roaming\Bubble Dock.installation.log
Fichier Supprimé : C:\Users\Caroline\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\crossbrowse.lnk
Fichier Supprimé : C:\Users\Caroline\AppData\Roaming\Mozilla\Firefox\Profiles\58thm3kj.default\user.js
Fichier Supprimé : C:\Program Files\Mozilla Firefox\defaults\pref\itms.js

***** [ Tâches planifiées ] *****

Tâche Supprimée : NetEngine

***** [ Raccourcis ] *****

***** [ Registre ] *****

Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Wpm
Clé Supprimée : HKCU\Software\Mozilla\Extends
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Mediaplayer\Shiminclusionlist\crossbrowse.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\CRSBRWSHTML
Clé Supprimée : HKLM\SOFTWARE\Clients\StartMenuInternet\Crossbrowse
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\crossbrowse.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4D6A5312-AB4D-41AA-8BED-0E019B87CA11}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{051E9166-B275-4683-907B-372FAE22BC7C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E5A7A645-8318-4895-B85C-EDC606B80DB6}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762}
Clé Supprimée : HKCU\Software\CrossBrowser
Clé Supprimée : HKCU\Software\Crossbrowse
Clé Supprimée : HKCU\Software\SafeGuardApp
Clé Supprimée : HKCU\Software\AppDataLow\Software\DynConIE
Clé Supprimée : HKLM\SOFTWARE\WebBar
Clé Supprimée : HKLM\SOFTWARE\Crossbrowse
Clé Supprimée : HKLM\SOFTWARE\SafeGuardApp
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Crossbrowse
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OLBPre
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{0BCE8B0A-1E76-44E5-9909-3CF804D92E4D}_is1
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MixVideoPlayer
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Crossbrowse
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\OLBPre
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SafeGuard
Donnée Supprimée : HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - hxxp=127.0.0.1:59300;hxxps=127.0.0.1:59300;
Donnée Supprimée : HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyEnable] - 1
Donnée Supprimée : HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <-loopback>
Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - *.local

***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.6001.19621

-\\ Mozilla Firefox v37.0.2 (x86 fr)

*************************

AdwCleaner[R0].txt - [7203 octets] - [13/09/2014 11:08:32]
AdwCleaner[R1].txt - [4363 octets] - [16/05/2015 11:51:35]
AdwCleaner[S0].txt - [6178 octets] - [13/09/2014 11:11:35]
AdwCleaner[S1].txt - [4103 octets] - [16/05/2015 11:56:55]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [4163 octets] ##########

EloaNosca · par **EloaNosca** » 17 mai 2015 09:36

Voici également les liens des fichiers FRST, Addition et Shortcut

http://pjjoint.malekal.com/files.php?id ... 9g6d13g6x6
http://pjjoint.malekal.com/files.php?id ... 10g10j14b8
http://pjjoint.malekal.com/files.php?id ... 14r13n9q11

A nouveau merci !

par **Malekal_morte** » 17 mai 2015 10:27

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled.
ProxyServer: [.DEFAULT] => http=127.0.0.1:59300;https=127.0.0.1:59300; [Attention - Possible Proxy Malicieux]
R2 nMWMjxnGq; C:\ProgramData\UEiTCPrLD\nMWMjxnGq.exe [2731512 2015-05-14] (Irrational Number Applications)
2015-05-14 19:38 - 2015-05-14 20:33 - 00000000 ____D () C:\Users\Caroline\Documents\ProPCCleaner
2015-05-14 19:38 - 2015-05-14 19:38 - 00000000 ____D () C:\Users\Caroline\AppData\Local\Pro_PC_Cleaner
2015-05-14 19:36 - 2015-05-16 22:19 - 00000000 ____D () C:\Users\Caroline\AppData\Local\WebShield
2015-05-14 19:35 - 2015-05-14 19:36 - 00000000 ____D () C:\ProgramData\UEiTCPrLD
2015-05-14 19:35 - 2015-05-14 19:35 - 00000000 ____D () C:\ProgramData\WebShield
2015-05-14 19:17 - 2015-05-14 19:17 - 00725912 _____ () C:\Users\Caroline\Downloads\Setup.exe
2008-12-03 19:16 - 2008-12-03 19:16 - 2989660 _____ (Macromedia, Inc.) C:\ProgramData\DVD.exe
2008-12-03 19:16 - 2008-12-03 19:16 - 2231606 _____ (Macromedia, Inc.) C:\ProgramData\Games.exe
2008-10-15 07:18 - 2008-10-15 07:18 - 0000249 _____ () C:\ProgramData\hpqp.ini
2008-12-03 19:16 - 2015-04-30 12:04 - 0000021 _____ () C:\ProgramData\hpqp.txt
2008-12-03 19:16 - 2008-12-03 19:16 - 2331174 _____ (Macromedia, Inc.) C:\ProgramData\Karaoke.exe
2008-12-03 19:16 - 2008-12-03 19:16 - 3063561 _____ (Macromedia, Inc.) C:\ProgramData\MobileTV.exe
2008-12-03 19:16 - 2008-12-03 19:16 - 2864396 _____ (Macromedia, Inc.) C:\ProgramData\MPV.exe

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/

EloaNosca · par **EloaNosca** » 19 mai 2015 20:58

Un grand merci !!!

Voici le dernier rapport :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 19-05-2015
Ran by Caroline at 2015-05-19 20:01:30 Run:1
Running from C:\Users\Caroline\Desktop
Loaded Profiles: Caroline (Available profiles: Caroline)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled.
ProxyServer: [.DEFAULT] => http=127.0.0.1:59300;https=127.0.0.1:59300; [Attention - Possible Proxy Malicieux]
R2 nMWMjxnGq; C:\ProgramData\UEiTCPrLD\nMWMjxnGq.exe [2731512 2015-05-14] (Irrational Number Applications)
2015-05-14 19:38 - 2015-05-14 20:33 - 00000000 ____D () C:\Users\Caroline\Documents\ProPCCleaner
2015-05-14 19:38 - 2015-05-14 19:38 - 00000000 ____D () C:\Users\Caroline\AppData\Local\Pro_PC_Cleaner
2015-05-14 19:36 - 2015-05-16 22:19 - 00000000 ____D () C:\Users\Caroline\AppData\Local\WebShield
2015-05-14 19:35 - 2015-05-14 19:36 - 00000000 ____D () C:\ProgramData\UEiTCPrLD
2015-05-14 19:35 - 2015-05-14 19:35 - 00000000 ____D () C:\ProgramData\WebShield
2015-05-14 19:17 - 2015-05-14 19:17 - 00725912 _____ () C:\Users\Caroline\Downloads\Setup.exe
2008-12-03 19:16 - 2008-12-03 19:16 - 2989660 _____ (Macromedia, Inc.) C:\ProgramData\DVD.exe
2008-12-03 19:16 - 2008-12-03 19:16 - 2231606 _____ (Macromedia, Inc.) C:\ProgramData\Games.exe
2008-10-15 07:18 - 2008-10-15 07:18 - 0000249 _____ () C:\ProgramData\hpqp.ini
2008-12-03 19:16 - 2015-04-30 12:04 - 0000021 _____ () C:\ProgramData\hpqp.txt
2008-12-03 19:16 - 2008-12-03 19:16 - 2331174 _____ (Macromedia, Inc.) C:\ProgramData\Karaoke.exe
2008-12-03 19:16 - 2008-12-03 19:16 - 3063561 _____ (Macromedia, Inc.) C:\ProgramData\MobileTV.exe
2008-12-03 19:16 - 2008-12-03 19:16 - 2864396 _____ (Macromedia, Inc.) C:\ProgramData\MPV.exe
*****************

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => value deleted successfully.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => value deleted successfully.
nMWMjxnGq => Service not found.
C:\Users\Caroline\Documents\ProPCCleaner => Moved successfully.
C:\Users\Caroline\AppData\Local\Pro_PC_Cleaner => Moved successfully.
"C:\Users\Caroline\AppData\Local\WebShield" => File/Directory not found.
C:\ProgramData\UEiTCPrLD => Moved successfully.
"C:\ProgramData\WebShield" => File/Directory not found.
"C:\Users\Caroline\Downloads\Setup.exe" => File/Directory not found.
C:\ProgramData\DVD.exe => Moved successfully.
C:\ProgramData\Games.exe => Moved successfully.
C:\ProgramData\hpqp.ini => Moved successfully.
C:\ProgramData\hpqp.txt => Moved successfully.
C:\ProgramData\Karaoke.exe => Moved successfully.
C:\ProgramData\MobileTV.exe => Moved successfully.
C:\ProgramData\MPV.exe => Moved successfully.

==== End of Fixlog 20:01:33 ====

par **Malekal_morte** » 19 mai 2015 20:59

Il reste quel soucis ?

EloaNosca · par **EloaNosca** » 22 mai 2015 16:36

Je n'ai plus de soucis. D'ailleurs un grand grand merci !!!

J'ai simplement posté le rapport qui s'est ouvert après avoir utiliser le script via l'outil fix de FRST, comme demandé dans le message d'avant.

Encore merci à vous !!!

par **Malekal_morte** » 23 mai 2015 10:31

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html

Malekal.com forum

Rapport AdwCleaner suite infection Crossbrowers

Rapport AdwCleaner suite infection Crossbrowers

Re: Rapport AdwCleaner suite infection Crossbrowers

Re: Rapport AdwCleaner suite infection Crossbrowers

Re: Rapport AdwCleaner suite infection Crossbrowers

Re: Rapport AdwCleaner suite infection Crossbrowers

Re: Rapport AdwCleaner suite infection Crossbrowers

Re: Rapport AdwCleaner suite infection Crossbrowers