High Commercial.exe ? infection?

[waree]

Salut,

Je viens de voir une fenetre shell s'ouvrir et se refermer très rapidement dans mon pc, je suis allé voir les programmes installées quand je vois un nommé

"High Commercial" dedans il y a un "High Commercial.exe" et un "High Commercial.dat"

Je ne trouve rien sur internet.

J'ai un peu peur car quelques minutes avant j'ai suivi un lien (provenant de quelqu'un de confiance sur twitter : chuck d de publi enemy) pour pré commander de la musique via paypal, pas pu finir l'operation car ca tournait dans le vent.


Help please.

Edit : je viens de voir qu'un service du même nom a été créer, je commence à bien flipper là. Pourtant j'ai KIS 2015..

[angelique]

1. Télécharge sur ton Bureau pas ailleurs FRST.EXE:
   
   
   
   La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
   Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
   (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
   
   !! Placez le programme sur le bureau et pas ailleurs!!
2. Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
   Le scan se lance, les éléments scannés apparaissent en haut.
3. Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
   
   
   Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[waree]

Ok, merci de prendre le temps.

le FRST http://pjjoint.malekal.com/files.php?id ... c8m14w6c10

Le Additions : http://pjjoint.malekal.com/files.php?id ... 15x8z13i15

Le shortcuts : http://pjjoint.malekal.com/files.php?id ... 6o5k12j9z5

il y a un "dasHost" qui parait pas clair entre autres

[Malekal_morte]

Salut,

Ce sont des adwares,


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


Task: {4F08BC85-2BA3-43D6-94DA-BB3DEC32AFAF} - \FocusPick No Task File <==== ATTENTION
Task: {5F8E7B16-0B85-4B48-8503-58CCF9490938} - \SecureData No Task File <==== ATTENTION
Task: {D122BC73-77B0-436E-B7A5-4CDE76A7C355} - \SpeakerBang No Task File <==== ATTENTION
Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task[973b].job => c:\programdata\{45eb3b0b-17da-2676-45eb-b3b0b17dec2c}\replace_kinguser_with_supersu-v1.2.zip.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\FocusPick.job => c:\programdata\{720458f2-9f22-0b20-7204-458f29f263ca}\8069763430459593605b.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\SecureData.job => c:\programdata\{82893e70-c077-92f8-8289-93e70c07f9c3}\3422603813418107569b.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\SpeakerBang.job => c:\programdata\{348e25ea-144f-2ff3-348e-e25ea14497a8}\2727520907672546805b.exe <==== ATTENTION
2015-07-09 00:03 - 2015-07-11 18:34 - 00000368 _____ C:\WINDOWS\Tasks\SpeakerBang.job
2015-07-09 00:03 - 2015-07-09 00:03 - 00000000 ____D C:\ProgramData\{348e25ea-144f-2ff3-348e-e25ea14497a8}
2015-07-06 13:52 - 2015-07-06 14:03 - 00000000 ____D C:\Users\Moi\Documents\Docs persos
2015-07-05 18:03 - 2015-07-11 18:34 - 00000368 _____ C:\WINDOWS\Tasks\SecureData.job
2015-07-05 18:03 - 2015-07-05 18:03 - 00000000 ____D C:\ProgramData\{82893e70-c077-92f8-8289-93e70c07f9c3}
S4 High Commercial; C:\Program Files (x86)\High Commercial\High Commercial.exe [8016240 2015-07-11] () [File not signed] <==== ATTENTION
C:\Program Files (x86)\High Commercial
2015-05-29 16:14 - 2015-05-29 19:01 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Genius
2015-05-29 16:14 - 2015-05-29 16:15 - 00000000 ____D C:\Users\Moi\AppData\Local\Avanquest
2015-05-29 16:14 - 2015-05-29 16:14 - 00000000 ____D C:\Users\Moi\AppData\Roaming\Avanquest Software

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html

[waree]

Salut et merci pour la réponse.

Pour être franc j’étais tellement flippé (c'est arrivé juste après une operation paypal) que je suis allé demandé de l'aide ailleurs quand j'ai vu que le site était down.
Je garde la réponse sous la main si jamais il y a des résidus.

Merci.

Edit : en réalité la manip faite hier n'avait pas supprimé le dossier en question, du coup je viens de passer le fix, le log :

http://pjjoint.malekal.com/files.php?id ... x15f9z14f9

[Malekal_morte]

OK

C'est supprimé :

High Commercial => Service removed successfully
C:\Program Files (x86)\High Commercial => moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Genius => moved successfully.

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :


Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html

[waree]

Ok merci pour ton aide.

Je n'accepte que très rarement des bonbons venants d'inconnus, même si ça m'arrive en général je suis assez prudent!
Je me demande si ce n'est pas le site RCSmusic.com une plateforme legale de vente de musique qui m'a installé ça.

Merci pour tout ;)

[Malekal_morte]

Normalement tu es prévenu durant l'installation.
Tu as une proposition (pré-cochée) qui te demande si tu veux installé ceci ou cela.