Sujet Précédent Sujet Suivant

Infection par lo.st

Fermé
ln72 - 1 févr. 2011 à 17:59
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 1 févr. 2011 à 18:46
Bonjour,

Nous avons notre ordinateur () infecté par lo.st, nous avons effectué le scanne par AD-R.
voici le rapport ci dessous, pouvez vous nous indiquer la démarche à suivre pour la suite de la désinfection.

Merci.

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 29/01/11 à 16:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 17:52:20 le 01/02/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
HP@PC-DE-HP (HP-Pavilion KZ638AA-ABF s3520.fr)

============== RECHERCHE ==============


Dossier trouvé: C:\Users\HP\AppData\LocalLow\Conduit
Dossier trouvé: C:\Users\HP\AppData\Roaming\EoRezo
Dossier trouvé: C:\Users\HP\AppData\Roaming\Soft2PC
Dossier trouvé: C:\Users\HP\AppData\Local\Soft2PC
Dossier trouvé: C:\Program Files\Soft2PC

-- Fichier ouvert: C:\Users\HP\AppData\Roaming\Mozilla\FireFox\Profiles\jvm1cmpq.default\Prefs.js --
Ligne trouvée: user_pref("browser.startup.homepage", "hxxp://y.lo.st");
-- Fichier Fermé --


Clé trouvée: HKLM\Software\Classes\CLSID\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
Clé trouvée: HKLM\Software\Classes\Interface\{CC883F50-95BB-4A25-9DBF-B801506F1BC4}
Clé trouvée: HKLM\Software\Classes\TypeLib\{B52F3553-49FA-4599-81A4-F98951E0B53B}
Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO
Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO.1
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2423182
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2551780
Clé trouvée: HKLM\Software\Classes\AppID\Soft2PCBHO.DLL
Clé trouvée: HKLM\Software\Classes\AppID\{AB67D16D-3824-4683-B81A-D66DBA61B1AF}
Clé trouvée: HKLM\Software\EoRezo
Clé trouvée: HKLM\Software\soft2PC
Clé trouvée: HKLM\Software\Winsudate
Clé trouvée: HKCU\Software\soft2PC
Clé trouvée: HKCU\Software\Winsudate
Clé trouvée: HKU\.DEFAULT\Software\soft2PC
Clé trouvée: HKU\S-1-5-18\Software\soft2PC
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Soft2PC_is1
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Software_is1
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|soft2PC


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Users\HP\AppData\Roaming\Mozilla\FireFox\Profiles\jvm1cmpq.default\Prefs.js --
browser.download.dir, C:\\Users\\HP\\Downloads
browser.startup.homepage, hxxp://y.lo.st
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [8.0.6001.18999] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Search_URL: hxxp://www.google.com/ie
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\System32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://mivolo.com
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: hxxp://y.lo.st
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 01/02/2011 (4116 Octet(s))

Fin à: 17:53:30, 01/02/2011

============== E.O.F ==============

3 réponses

Réponse 1 / 3
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
1 févr. 2011 à 18:10
bonjour

fais ceci

1)

relance Ad Remover
option NETTOYAGE
poste le rapport

_________

2)

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

0
ln72
1 févr. 2011 à 18:25
voici le nouveau rapport après nettoyage par ad-r. merci pour la suite

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 29/01/11 à 16:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 18:17:57 le 01/02/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
HP@PC-DE-HP (HP-Pavilion KZ638AA-ABF s3520.fr)

============== ACTION(S) ==============


Fichier supprimé: C:\Windows\system32\wbem\Performance\WmiApRpl_new.ini

(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Users\HP\AppData\Roaming\Mozilla\FireFox\Profiles\jvm1cmpq.default\Prefs.js --
browser.download.dir, C:\\Users\\HP\\Downloads
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [8.0.6001.18999] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 38 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 20 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 01/02/2011 (4575 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 01/02/2011 (2311 Octet(s))
C:\Ad-Report-SCAN[1].txt - 01/02/2011 (4245 Octet(s))
C:\Ad-Report-SCAN[2].txt - 01/02/2011 (4301 Octet(s))
C:\Ad-Report-SCAN[3].txt - 01/02/2011 (2434 Octet(s))

Fin à: 18:18:38, 01/02/2011

============== E.O.F ==============
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
1 févr. 2011 à 18:30
vu

=> ZHP
0
Réponse 2 / 3
ln72
1 févr. 2011 à 18:37
re bonsoir,

voici le lien pour le rapport ZHPdiag:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijRUD9cab.txt

merci pour l'aide
0
Réponse 3 / 3
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
1 févr. 2011 à 18:46
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
0

Discussions similaires

Virus détecté
Koony -
MisteryBean -

6 réponses
infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
y a t'il des virus qu'avast ne detecte pas
davivid -
Utilisateur anonyme -

24 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses