Infection par lo.st

ln72 -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Nous avons notre ordinateur () infecté par lo.st, nous avons effectué le scanne par AD-R.
voici le rapport ci dessous, pouvez vous nous indiquer la démarche à suivre pour la suite de la désinfection.

Merci.

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 29/01/11 à 16:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 17:52:20 le 01/02/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
HP@PC-DE-HP (HP-Pavilion KZ638AA-ABF s3520.fr)

============== RECHERCHE ==============

Dossier trouvé: C:\Users\HP\AppData\LocalLow\Conduit
Dossier trouvé: C:\Users\HP\AppData\Roaming\EoRezo
Dossier trouvé: C:\Users\HP\AppData\Roaming\Soft2PC
Dossier trouvé: C:\Users\HP\AppData\Local\Soft2PC
Dossier trouvé: C:\Program Files\Soft2PC

-- Fichier ouvert: C:\Users\HP\AppData\Roaming\Mozilla\FireFox\Profiles\jvm1cmpq.default\Prefs.js --
Ligne trouvée: user_pref("browser.startup.homepage", "hxxp://y.lo.st");
-- Fichier Fermé --

Clé trouvée: HKLM\Software\Classes\CLSID\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
Clé trouvée: HKLM\Software\Classes\Interface\{CC883F50-95BB-4A25-9DBF-B801506F1BC4}
Clé trouvée: HKLM\Software\Classes\TypeLib\{B52F3553-49FA-4599-81A4-F98951E0B53B}
Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO
Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO.1
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2423182
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2551780
Clé trouvée: HKLM\Software\Classes\AppID\Soft2PCBHO.DLL
Clé trouvée: HKLM\Software\Classes\AppID\{AB67D16D-3824-4683-B81A-D66DBA61B1AF}
Clé trouvée: HKLM\Software\EoRezo
Clé trouvée: HKLM\Software\soft2PC
Clé trouvée: HKLM\Software\Winsudate
Clé trouvée: HKCU\Software\soft2PC
Clé trouvée: HKCU\Software\Winsudate
Clé trouvée: HKU\.DEFAULT\Software\soft2PC
Clé trouvée: HKU\S-1-5-18\Software\soft2PC
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Soft2PC_is1
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Software_is1
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|soft2PC

============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Users\HP\AppData\Roaming\Mozilla\FireFox\Profiles\jvm1cmpq.default\Prefs.js --
browser.download.dir, C:\\Users\\HP\\Downloads
browser.startup.homepage, hxxp://y.lo.st
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [8.0.6001.18999] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Search_URL: hxxp://www.google.com/ie
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\System32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://mivolo.com
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: hxxp://y.lo.st
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 01/02/2011 (4116 Octet(s))

Fin à: 17:53:30, 01/02/2011

============== E.O.F ==============

3 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    fais ceci

    1)

    relance Ad Remover
    option NETTOYAGE
    poste le rapport

    _________

    2)

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    0
    1. ln72
       
      voici le nouveau rapport après nettoyage par ad-r. merci pour la suite

      ======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

      Mis à jour par TeamXscript le 29/01/11 à 16:00
      Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
      Site web: http://www.teamxscript.org

      C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 18:17:57 le 01/02/2011, Mode normal

      Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
      HP@PC-DE-HP (HP-Pavilion KZ638AA-ABF s3520.fr)

      ============== ACTION(S) ==============


      Fichier supprimé: C:\Windows\system32\wbem\Performance\WmiApRpl_new.ini

      (!) -- Fichiers temporaires supprimés.




      ============== SCAN ADDITIONNEL ==============

      ** Mozilla Firefox Version [Impossible d'obtenir la version] **

      -- C:\Users\HP\AppData\Roaming\Mozilla\FireFox\Profiles\jvm1cmpq.default\Prefs.js --
      browser.download.dir, C:\\Users\\HP\\Downloads
      browser.startup.homepage_override.mstone, rv:1.9.2.13

      ========================================

      ** Internet Explorer Version [8.0.6001.18999] **

      [HKCU\Software\Microsoft\Internet Explorer\Main]
      AutoHide: yes
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Do404Search: 0x01000000
      Enable Browser Extensions: yes
      Local Page: C:\Windows\system32\blank.htm
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Show_ToolBar: yes
      Start Page: hxxp://fr.msn.com/
      Use Search Asst: no

      [HKLM\Software\Microsoft\Internet Explorer\Main]
      AutoHide: yes
      Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Delete_Temp_Files_On_Exit: yes
      Enable Browser Extensions: yes
      Local Page: C:\Windows\System32\blank.htm
      Search bar: hxxp://search.msn.com/spbasic.htm
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start Page: hxxp://fr.msn.com/
      Use Search Asst: no

      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm

      ========================================

      C:\Program Files\Ad-Remover\Quarantine: 38 Fichier(s)
      C:\Program Files\Ad-Remover\Backup: 20 Fichier(s)

      C:\Ad-Report-CLEAN[1].txt - 01/02/2011 (4575 Octet(s))
      C:\Ad-Report-CLEAN[2].txt - 01/02/2011 (2311 Octet(s))
      C:\Ad-Report-SCAN[1].txt - 01/02/2011 (4245 Octet(s))
      C:\Ad-Report-SCAN[2].txt - 01/02/2011 (4301 Octet(s))
      C:\Ad-Report-SCAN[3].txt - 01/02/2011 (2434 Octet(s))

      Fin à: 18:18:38, 01/02/2011

      ============== E.O.F ==============
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      vu

      => ZHP
      0
  2. ln72
     
    re bonsoir,

    voici le lien pour le rapport ZHPdiag:
    http://www.cijoint.fr/cjlink.php?file=cj201102/cijRUD9cab.txt

    merci pour l'aide
    0
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen rapide
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
    0