Virus cheapstuff.com Fermé

Question

Bonjour, 

Lorsque j'ouvre un site internet, n'importe lequel, il y a une page qui s'affiche : "www.pcinpact.com fournit du contenu provenant de cheapstuff.com, un site connu pour distribuer des logiciels malveillants. Votre ordinateur pourrait être infecté par un virus si vous consultez ce site" 
Je peux continuer en confirmant ma visite manuellement mais je ne sais pas si c'est risqué."

J'ai fait votre démarche avec ZHPDiag et voici mon lien:
https://www.cjoint.com/?0FymtungMYs 

Merci de votre aide


Configuration: Windows Vista / Safari 536.5

g3n-h@ckm@n · Answer

salut

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

grilled ^^

Utilisateur anonyme · Answer

Merci, voici mon lien:
https://pjjoint.malekal.com/files.php?id=20120624_10y8x7m14k7

g3n-h@ckm@n · Answer

ouaip'

ben va falloir arrêter les sites pornos :) ^^ une vraie poubelle ce pc !

============

Firefox à mettre à jour 12 => 13
desinstalle adobe reader 8
desinstalle babylon
desinstalle SweetIm machin
desinstalle Complitly
desinstalle Offerbox
desinstalle Tout Java
desinstalle OpenCandy
desinstalle Live-Player
desinstalle WhiteSmoke
desinstalle IliVid player
desinstalle PackBarre
desinstalle Favorit

=====================


@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Key::
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0FB7A6F3-6401-4CB8-9C90-428BAD58B3B4}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[PlayMovie] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[EoEngine] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[QuickTime Task]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[PaperPort PTD] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[SSBkgdUpdate] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[IndexSearch] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[SweetIM] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[SSBkgdUpdate] 
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\Microsoft\Windows\CurrentVersion\Run]:[bxliflf]
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\Microsoft\Windows\CurrentVersion\Run]:[Facebook Update]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:[{EEE6C35B-6118-11DC-9C72-001320C79847}] 
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\Microsoft\Internet Explorer\Toolbar]:[Locked]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}]  
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]  
[HKCR\Applications\winzip121fr.exe]
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\Complitly] 
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\EoRezo]     
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\Live-Player]     
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\OfferBox]     
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\SweetIM]     
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\WhiteSmoke]     
[HKU\S-1-5-21-3042257955-2711162553-277566577-1000\Software\Zugo]     
[HKLM\Software\Babylon]     
[HKLM\Software\EoRezo]     
[HKLM\Software\Live-Player]     
[HKLM\Software\OfferBox]     
[HKLM\Software\OpenCandy NSIS SDK]     
[HKLM\Software\SweetIM]     
[HKLM\Software\WhiteSmoke]     



File::
C:\Users\lucie\AppData\Roaming\Mozilla\Firefox\Profiles\e60ji7r4.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi     
C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml     
C:\Program Files\Mozilla Firefox\searchplugins\yahoo.xml.old 
C:\Users\lucie\AppData\Roaming\Mozilla\Firefox\Profiles\e60ji7r4.default\searchplugins\sweetim.xml     
C:\Users\lucie\Downloads\WebPlayer.exe 
C:\Users\lucie\Downloads\WebPlayer_V16(1).exe
C:\Users\lucie\Downloads\WebPlayer_V16.exe 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk     
C:\Windows\Tasks\OfferBoxUpdate.job     

Folder::     
C:\Program Files\SweetIM
C:\Users\lucie\AppData\Roaming\Mozilla\Firefox\Profiles\e60ji7r4.default\extensions\ffxtlbr@babylon.com 
C:\Users\lucie\AppData\Local\Temp\A1DD4311-BAB0-7891-BFDB-32DBD191FF33
C:\Users\lucie\AppData\Local\Temp\*.dir
C:\Users\lucie\AppData\Roaming\Complitly
C:\PROGRA~1\EoRezo
C:\Program Files\SweetIM
C:\Program Files\OfferBox
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Live-Player     
C:\Users\lucie\AppData\Roaming\Babylon     
C:\Users\lucie\AppData\Roaming\EoRezo     
C:\Users\lucie\AppData\Roaming\live-player     
C:\Users\lucie\AppData\Roaming\OfferBox     
C:\Users\lucie\AppData\Roaming\WhiteSmoke     
C:\ProgramData\Babylon     
C:\ProgramData\SweetIM     
C:\Users\lucie\AppData\Local\Babylon     
C:\Users\lucie\AppData\Local\Ilivid Player     
C:\Program Files\Babylon     
C:\Program Files\Complitly 
C:\Program Files\EoRezo     
C:\Program Files\Live-Player     
C:\Program Files\SweetIM     
C:\Program Files\WhiteSmoke     
C:\Program Files\PackBarre     

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Virus cheapstuff.com

4 réponses

Discussions similaires