System Progressive Protection, ZeroAccess, Root.MBR, etc Résolu/Fermé

Question

Bonjour, 



Configuration: Windows XP / Firefox 17.0

Je ne sais pas depuis quand l'infection a commencé mais le comportement du PC est devenu critique récemment avec "System Progressive Protection".

J'ai essayé de suivre les conseils pour les premiers soins avec RogueKiller puis TDSSKiller et je ne vois plus apparaître ZeroAccess, mais Root.MBR est toujours là !

Il y a encore des traces de System Progressive Protection et des processus mngr.exe tournent/redémarrent inlassablement.

Je viens de télécharger et exécuter ZHPDiag, mais je ne sais pas quoi faire du fichier log ! (si vous pouvez m'aider, merci d'écrire lentement et sans sauter trop d'étapes car je n'ai jamais fait ça ;-)


Merci à tous, par avance.

Utilisateur anonyme · Accepted Answer

heuu, je ne comprend spas, 

tu viens demander de l'aide pour nettoyer ton pc !

je te file une procedure de nettoyage mais tu ne fais que de tête !

 il n'y avait pas besoin de passer combofix, tu l'as fait !

là, je te demande de passer à zhpfix :

https://forums.commentcamarche.net/forum/affich-26556864-system-progressive-protection-zeroaccess-root-mbr-etc#7

tu me sors que tu as passé MBAM et ADWC !


Babylon, Claro et Vshar sont des adwares et des logiciels de pup !

ces barres sont juste pour le téléchargement !!!

je ne vois pas l'inrerrêt de nettoyer ton pc, si tu veux juste conserver ces infections !


tu seras de nouveau infecté par le rogue, il n'y aura plus de point de retours,

bref, à toi de voir !

Utilisateur anonyme · Answer

bonsoir,

 *	[*] Télécharger et enregistre RogueKiller sur le bureau 
https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.	

Tuto :
http://tigzyrk.blogspot.fr/2012/10/fr-roguekiller-tutoriel-officiel.html

galileo87 · Answer

à voir si c'est ça...
https://dc6fnq.1fichier.com/

avec pwd = galileo87

Utilisateur anonyme · Answer

https://forums.commentcamarche.net/forum/affich-26556864-system-progressive-protection-zeroaccess-root-mbr-etc#1

galileo87 · Answer

RogueKiller V8.3.1 [Nov 25 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : guillaume [Droits d'admin] Mode : Recherche -- Date : 26/11/2012 21:10:25 ¤¤¤ Processus malicieux : 2 ¤¤¤ [SUSP PATH] mngr.exe -- C:\Documents and Settings\All Users\Application Data\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc] [SUSP PATH] mngr.exe -- C:\Documents and Settings\All Users\Application Data\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Infection : Root.MBR ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3200822A +++++ --- User --- [MBR] c1ce7f520578f30bdcdd234ef6a8b926 [BSP] 8a9582ba44c8de601ccc1f8860b64c32 : Xpaj MBR Code! Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 162242 Mo 1 - [XXXXXX] UNKNOWN (0x77) [VISIBLE] Offset (sectors): 332272395 | Size: 18018 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[10]_S_26112012_211025.txt >> RKreport[10]_S_26112012_211025.txt ; RKreport[8]_S_26112012_084756.txt ; RKreport[9]_S_26112012_180937.txt

Utilisateur anonyme · Answer

tu t'es servi de Roguekiller en mode suppression, 

remets moi un nouveau rapport de zhpdiag s'il te plait

galileo87 · Answer

oui, RogueKiller en mode Scan, puis suppression. TDSSKiller en mode "cure". ComboFix...

Voici le nouveau rapport ZHPDiag
https://znk85f.1fichier.com/

Merci pour tes conseils !

Utilisateur anonyme · Answer

installe la dernière version de java et Adobe rader depuis leurs sites dédiés !



désinstale les anciennes versions de java de ton pc !


tu as 511 Mo de ram !!!




*	Lance ZHPFix via le raccourci sur ton Bureau


*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O3 - Toolbar: (no name) - [HKLM]{EF99BD32-C1FB-11D2-892F-0090271D4F88} . (...) --  (.not file.)    
[HKCU\Software\AppDataLow\Software\Smartbar]   
[HKCU\Software\Conduit]    
[HKCU\Software\Softonic]   
O43 - CFD: 26/11/2012 - 04:27:43 - [0,000] R---D C:\Documents and Settings\guillaume\Menu Démarrer\Programmes\Outils d'administration  
[HKCU\Software\Softonic]   
[MD5.83DE1ABA61074DA70F5011D28610B18D] - (...) -- C:\Documents and Settings\All Users\Application Data\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe   [2402840] [PID.]   
M3 - MFPP: Plugins - [guillaume] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml    
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.claro-search.com    
O23 - Service: Browser Manager (Browser Manager) . (...) - C:\Documents and Settings\All Users\Application Data\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe   
O42 - Logiciel: Browser Manager - (.Bit89 Inc.) [HKLM] -- {15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}    
[HKCU\Software\DataMngr_Toolbar]   
[HKLM\Software\Babylon]  
[HKLM\Software\Boxore]    
O43 - CFD: 24/11/2012 - 02:17:29 - [0] ----D C:\Program Files\Software   
O43 - CFD: 28/04/2012 - 19:33:24 - [0,014] ----D C:\Documents and Settings\guillaume\Application Data\Babylon    
O43 - CFD: 24/11/2012 - 00:16:53 - [0,001] ----D C:\Documents and Settings\guillaume\Menu Démarrer\Programmes\Browser Manager   
O43 - CFD: 14/11/2012 - 21:00:53 - [0,007] ----D C:\Documents and Settings\guillaume\Menu Démarrer\Programmes\System Progressive Protection    
O64 - Services: CurCS - 12/11/2012 - C:\Documents and Settings\All Users\Application Data\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe - Browser Manager (Browser Manager)  .(...) - LEGACY_BROWSER_MANAGER    
O69 - SBI: prefs.js [guillaume - atyk9ko1.default] user_pref("extensions.BabylonToolbar_i.newTab", true);    
O69 - SBI: prefs.js [guillaume - atyk9ko1.default] user_pref("extensions.BabylonToolbar_i.newTabUrl", "");    
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} [DefaultScope] - (Claro Search) - http://www.claro-search.com
O43 - CFD: 14/11/2012 - 21:00:53 - [0,007] ----D C:\Documents and Settings\guillaume\Menu Démarrer\Programmes\System Progressive Protection    
[HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]  
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]   
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}] 
[HKLM\Software\Google\Chrome\Extensions\pgafcinpmmpklohkojmllohdhomoefph]   
[HKLM\Software\Boxore]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}]    
C:\Program Files\Software    
C:\Documents and Settings\guillaume\Application Data\Babylon 
C:\Documents and Settings\guillaume\Local Settings\Application Data\Software    
SR - | Auto  2402840 |  (Browser Manager) . (...) - C:\Documents and Settings\All Users\Application Data\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe    
[MD5.0E86A0CFCD1588AA0D6048EEF38F04D9] - (.McAfee, Inc. - McAfee Security Scanner Scheduler.) -- C:\Program Files\McAfee Security Scan\3.0.287\SSScheduler.exe   [271808] [PID.]
SS - | Demand 11/09/2012 234776 |  (McComponentHostService) . (.McAfee, Inc..) - C:\Program Files\McAfee Security Scan\3.0.287\McCHSvc.exe 
O42 - Logiciel: McAfee Security Scan Plus - (.McAfee, Inc..) [HKLM] -- McAfee Security Scan
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\System Progressive Protection]
EmptyTemps
EmptyClsid


---------------------------------------------------------- 
* Clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à droite de la page d'outil)

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

galileo87 · Answer

Bonjour et merci pour les tuyaux,

j'ai téléchargé reader (pour java, c'était ok) et j'ai fait le ménage dans les anciennes versions ; il y avait de quoi faire...

en m'inspirant d'autres posts du forum, j'ai passé Malwarebytes et adwcleaner

avant de refaire un ZHPDiag

ensuite, j'ai repris dans ton message toutes les lignes qui étaient encore présentes dans le rapport ZHPDiag pour les soumettre à ZHPFix

voici le rapport (?) ou du moins ce que j'ai trouvé là où il était censé être...
--------------------
Rapport de ZHPFix 1.3.07 par Nicolas Coolman, Update du 13/11/2012
Fichier d'export Registre : 
Run by guillaume at 27/11/2012 09:40:40
Windows XP Home Edition Service Pack 3 (Build 2600)



========== Dossier(s) ==========


========== Récapitulatif ==========


End of clean in 00mn 05s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 27/11/2012 09:40:45 [354]

--------------------

Est ce qu'il y a une raison de ne pas soumettre à ZHPFix toutes les lignes O69... pour Babylon, claro et vshare ?

galileo87 · Answer

Pardon, m'sieur, je le f'rais plus...

Excuses faites, mon tout premier message indiquait que j'avais déjà passé 2-3 bricoles,
en suivant ça (sauf erreur, toujours possible, et que je te prie par avance de bien vouloir accepter le cas échéant, en suivant la variante : RK, TDDS..., ComboFix)
http://tigzyrk.blogspot.fr/search?q=zeroaccess

Lien que j'avais trouvé dans un autre post sur le site sur lequel nous échangeons présentement.

Comme un nouveau scan laissait entrevoir la possibilité de problème persistant, qui ne s'appelait plus ZeroAccess mais Root.MBR, j'ai continué à chercher, la plupart du temps sur le site où nous sommes...

J'ai fini par déposer une demande d'aide.


... et c'est dans d'autres posts que j'ai suivi les recommandations MBAM et ADWC... à tord, sans doute, mais sans mauvaise intention initale.

Tu m'écris :
"Babylon, Claro et Vshar sont des adwares et des logiciels de pup !

ces barres sont juste pour le téléchargement !!!

je ne vois pas l'inrerrêt de nettoyer ton pc, si tu veux juste conserver ces infections ! "

Là, c'est moi qui ne comprends pas. La journée a été dure pour tout le monde...
J'ai vu dans le fichier qu'il y a plein de lignes qui commencent par O69 et qui contiennent babylon/claro/vshare... je demande juste s'il ne faut pas TOUTES les traiter avec ZHPFix et tu me réponds que je veux les conserver !? (ou alors je n'ai vraiment pas compris)

En résumé, il ne faut pas forcément prendre la mouche. Ce n'est absolument pas un reproche mais comme nos premiers échanges étaient espacés de 5' et que ta réponse (avant dernière) est arrivée 1h40 après mon message, et que surtout, je ne suis pas familier de ce site et de ces pratiques (réelles, hein, je ne parle pas de charte), je ne savais pas trop que faire...

Mea culpa !! Si j'ai d'autres péchés à confesser, ça sera pour le prochain post. ;-)

Et en ce qui me concerne, sans rancunes !!!

Utilisateur anonyme · Answer

passe à ceci :

 https://forums.commentcamarche.net/forum/affich-26556864-system-progressive-protection-zeroaccess-root-mbr-etc#7

galileo87 · Answer

OK, ça roule.

J'ai soumis dans ZHPFix, puis confirmé la suppression des données.

Le PC s'est arrêté et lors du redémarrage, message erreur Windows pour :
C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp\WER3dfe.dir00\Mini112712-02.dmp
C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp\WER3dfe.dir00\sysdata.xml

et.... je ne sais pas où trouver le rapport ! 
Désolé, je ne le fais pas exprès.

Utilisateur anonyme · Answer

redémarre le pc une ou deux fois pour voir ce qu'il dit !

galileo87 · Answer

Après une mise en veille (pause repas oblige!), je viens de reprendre et le PC a redémarré tout seul... sans le message d'erreur windows cette fois.

Pas de nouvelle, pour l'instant, du fichier rapport de ZHPFix (si je le trouve, je le mets là)

Je vais essayer de redémarrer 1 fois ou 2 puis je fais une (nouvelle) pause....

galileo87 · Answer

2 redémarrages...

1er = ok, sans mes windows... rien de spécial

2e = retour du msg windows (le même que précédemment)


je vais essayer une nouvelle mise en veille. De retour vers 23h...

est ce qu'il faut que je passe un scan (lequel?) ?
si je n'ai pas de réponse, je ne fais rien, je suis "under control" :-))

Utilisateur anonyme · Answer

je te propose d'arrêter le pc complétement, puis le redémarrer après, on verra si le message s'affiche de nouveau  :D

galileo87 · Answer

après la veille (+ longue que prévue)... redémarrage intempestif du PC, avec la fenêtre erreur (sérieuse) de windows.

je suis tes conseils : j'arrête tout, puis je démarre.

Utilisateur anonyme · Answer

si tu vois que la situation continue comme ça, relance Zhpfix,


fais glisser ta sourie sur la lettre "Q", en haut de la fênetre de zhpfix,

l'info bulle t'indique la restauration de la quarantaine,

restaure ce qu'on vient de supprimer,


redémarre le pc pour voir !

on resupprimera ce qui est infectieux !

galileo87 · Answer

les démarrages du PC ne sont pas tous accompagnés du msg d'alerte windows (aléatoire?)

en revanche, les réveils de mise en veille semblent provoquer (systématiquement) un arrêt/relance du PC.

j'ai supposé qu'on est dans "la situation continue"...

j'ai ouvert ZHPFix, et cliqué sur Q pour restaurer la quarantaine.

je viens de redémarrer le PC, sans msg windows (mais comme indiqué plus haut, ce n'était/est pas systématique...)

Utilisateur anonyme · Answer

ok,

remets moi un nouveau zhpdiag pour voir l'état du pc !


si les messages n'apparaissent plus, on nettoie, mais à petite dose !

galileo87 · Answer

nouveau ZHPDiag
https://91lr9n.1fichier.com/

Merci pour tout !

Utilisateur anonyme · Answer

*	Lance ZHPFix via le raccourci sur ton Bureau


*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O42 - Logiciel: McAfee Security Scan Plus - (.McAfee, Inc..) [HKLM] -- McAfee Security Scan    
SS - | Demand 11/09/2012 234776 |  (McComponentHostService) . (.McAfee, Inc..) - C:\Program Files\McAfee Security Scan\3.0.287\McCHSvc.exe  
O69 - SBI: prefs.js [guillaume - atyk9ko1.default] user_pref("extensions.BabylonToolbar_i.newTab", true);    
O69 - SBI: prefs.js [guillaume - atyk9ko1.default] user_pref("extensions.BabylonToolbar_i.newTabUrl", "");    
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Claro Search) - http://www.claro-search.com    
[HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]    
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]    
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\System Progressive Protection]    


---------------------------------------------------------- 
* Clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à droite de la page d'outil)

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

galileo87 · Answer

Rapport de ZHPFix 1.3.07 par Nicolas Coolman, Update du 13/11/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-28-11-2012-21-41-40.txt
Run by guillaume at 28/11/2012 21:41:39
Windows XP Home Edition Service Pack 3 (Build 2600)



========== Logiciel(s) ==========
ABSENT Uninstall Process: c:\program files\mcafee security scan\uninstall.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\McAfee Security Scan]
SUPPRIME Key: Service: McComponentHostService
SUPPRIME Key: SearchScopes :{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SUPPRIME Key: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\System Progressive Protection

========== Préférences navigateur ==========
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.newTab", true);
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.newTabUrl", "");

========== Fichier(s) ==========
SUPPRIME File: c:\program files\mcafee security scan\3.0.287\mcchsvc.exe


========== Récapitulatif ==========
8 : Clé(s) du Registre
1 : Fichier(s)
1 : Logiciel(s)
2 : Préférences navigateur


End of clean in 00mn 15s

========== Chemin de fichier rapport ==========
C:\ZHP\copie--ZHPFix[R1].txt - 28/11/2012 09:40:45 [405]
C:\ZHP\ZHPFix[R2].txt - 28/11/2012 21:41:40 [1656]




j'ai confirmé la suppression de McAfee security scan.... j'espère que c'est juste!


par ailleurs, depuis la suppression des vieilles versions de Reader et le téléchargement d'une nouvelle version, je ne peux plus ouvrir les ".pdf". Je ne sais pas si c'est lié aux virus rencontrés (?). Une fenêtre s'ouvre et se ferme immédiatement...

Utilisateur anonyme · Answer

bonjour,

pour Macafric, c'était juste le service qui était en couras, de mémoire, tu dois avoir Avast comme antivirus !


si tu vois que tu ne peux plus ouvrire les vieux fichiers .Pdf, tu peux installer Files open qui n'est qu'un plugins pour Adobe reader permettant la lecture des fichiers écrits avec les anciennes version :

https://plugin.fileopen.com/all.aspx


redémarre ton pc,

donne moi des nouvelles de son focntionnement.


@++

galileo87 · Answer

pas réussi à installer file Open ! Apparemment, il ne trouve pas Adobe ou Acrobat Reader.
Pourtant, depuis le panneau de config ,il est bien là... et dans le bon répertoire (a priori).

A part ça, pas de souci majeur repéré.

Utilisateur anonyme · Answer

en tous cas, tu as toujours la possibilité d'installer les vérsion entèrieurs d'Adobe depuis son site dédié, si besoin !

tente de tout désinstaller,

supprimer manuellement son répertoire de ton disque dur, puis le résinstaller pour voir ce qu'il dit !

galileo87 · Answer

Pour Adobe Reader :
version XI retirée

1ere tentative de téléchargement de version X, en déconnectant l'antivirus Avast (choix 10') = plantage immédiat du PC, redémarrage auto avec fenêtre erreur windows...

2e tentative, sans désactiver Avast = ça semble OK. Les fichiers pdf s'ouvrent...

Par contre, une nouvelle cochonnerie : http://life-localized.com
= des fenêtres (jeu/concours?) qui s'ouvrent de façon intempestive.

Utilisateur anonyme · Answer

tu as du surement oublié de décocher la barre d'outil proposée par l'installateur !


remets moi un nouveau zhpdiag s'il te plait !

galileo87 · Answer

non, je crois bien avoir décoché la barre (Ask)... qui d'ailleurs -ou pour l'instant- n'apparait pas.

voici le ZHPDiag de ce soir :
https://ywdw2q.1fichier.com/

Utilisateur anonyme · Answer

évite d'utiliser ce site d'hébérgement !!!


Attention ! En téléchargement standard, vous ne pouvez télécharger qu'un seul fichier à la fois et vous devez attendre au moins 2 minutes entre chaque téléchargement. 
  

pas par Cjoint

galileo87 · Answer

Si !
https://www.cjoint.com/?3KDwJL9N0p9

Utilisateur anonyme · Answer

oupss, faute de frappe : passe par Cjoint !


bref :
hxxp://life-localized.com 

aucune trace dans ton rapport,

il s'affiche avec quel navigateur ?


si tu as une version d'ADWC sur ton pc, désinstale la, retélécharger une nouvelle copie ici :



http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


Lance le, 

clique sur rechercher et poste son rapport.

galileo87 · Answer

# AdwCleaner v2.010 - Rapport créé le 30/11/2012 à 08:54:59
# Mis à jour le 29/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : guillaume - SYLVIE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\guillaume\Mes documents\Téléchargements\adwcleaner(1).exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8FFA7469-654F-423E-84FE-6A583CB1C284}
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [bProtectorDefaultScope]

***** [Navigateurs] *****

-\ Internet Explorer v6.0.2900.5512

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v17.0 (fr)

Nom du profil : default-1353886098140 [Profil par défaut]
Fichier : C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\69hiahji.default-1353886098140\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default 
Fichier : C:\Documents and Settings\sly\Application Data\Mozilla\Firefox\Profiles\enqromkh.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3330 octets] - [26/11/2012 23:19:05]
AdwCleaner[R2].txt - [1457 octets] - [30/11/2012 08:54:59]
AdwCleaner[S1].txt - [3371 octets] - [26/11/2012 23:23:09]

########## EOF - C:\AdwCleaner[R2].txt - [1577 octets] ##########



Navigateur Mozilla, mais hxxp://life-localized.com n'apparait plus !

Utilisateur anonyme · Answer

ok,

relance ADWC, clkique sur Supprimer,

poste son rappor taprès le redémarrage,


si tu vois que mle problème perciste, il faut désactiver tous les modules complementaires dans les options de firefox !


@++

galileo87 · Answer

# AdwCleaner v2.010 - Rapport créé le 30/11/2012 à 12:53:12
# Mis à jour le 29/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : guillaume - SYLVIE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\guillaume\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8FFA7469-654F-423E-84FE-6A583CB1C284}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [bProtectorDefaultScope]

***** [Navigateurs] *****

-\ Internet Explorer v6.0.2900.5512

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v17.0 (fr)

Nom du profil : default-1353886098140 [Profil par défaut]
Fichier : C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\69hiahji.default-1353886098140\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default 
Fichier : C:\Documents and Settings\sly\Application Data\Mozilla\Firefox\Profiles\enqromkh.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1399 octets] - [30/11/2012 12:53:12]

########## EOF - C:\AdwCleaner[S1].txt - [1459 octets] ##########

voili voilou

Utilisateur anonyme · Answer

relance ADWC, clique sur supprimer,

est ce que le pc fonctionne correctement avant de continuer ?

galileo87 · Answer

Pour "supprimer", faut-il comprendre "suppression" ou "désinstaller" ?


Le PC fonctionne plutôt bien, sans comportement 'bizarre'...

Utilisateur anonyme · Answer

oupss, désinstalle le  ;-)


 tu as déjà MBAM sur ton pc,  Malwarebytes Anti-Malware

lance le ,


. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

galileo87 · Answer

comme c'est un peu long, je l'ai mis là
https://www.cjoint.com/?3LbfrMihzX2

s'il le faut absolument dans cette page, dis le moi !

Utilisateur anonyme · Answer

super,

attention à l'utilisation des Cr@ck !!


relance MBAM, vide sa quarantaine,

la restauration sysème est infestée par Boxore !



/!\ Attention : 
de plus en plus de programmes proposent l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.

De plus de ceci, évite fortement les sites comme 01@net et Softonic, les logiciels gratuits et libres sont repackés avec leurs barres d'outils !




* pour supprimer les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message 
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 






  
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.zebulon.fr/telechargements/utilitaires/nettoyeurs/ccleaner.html

.double-cliques sur le fichier pour lancer l'installation 

/!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante ! 

.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 

tuto installation & nettoyage :  
https://www.donnemoilinfo.com/tuto/CCleaner/ 



* Supprimer les anciens points de restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

Pour XP :
 https://www.commentcamarche.net/faq/5097-virus-system-volume-information



 


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

galileo87 · Answer

1/ je ne sais pas ce que sont les "cr@ack" ? ..; mais comme je ne suis pas seul utilisateur de ce PC, je me renseignerai ;-)

2/ MBAM = ok
Delfix = ok

3/ CCleaner = ok (3 passages nécessaires analyse/nettoyage)

4/ suppression des points de restauration = ok

5/ antivirus (scan complet)

* [sévérité non renseignée] problèmes sur install_reader11_fr_mssd_aih.exe (environ 100 messages "Erreur : l'archive est protégée par mot de passe (42056)"

* En sévérité haute ! 
fichier  =   C:\WINDOWS\system32\c_72654.nls
état = Menace Win32:RLoader-B

l'antivirus propose de "Mettre en quarantaine"

je ne sais pas si c'est pour tout (100 et quelques messages) ou seulement le dernier (sévérité haute)


Voici les dernières nouvelles....

Utilisateur anonyme · Answer

pour le Cr@ck, pas besoin de te renseigner, regarde le rapport de MBAM :

Files Detected: 109
C:\Documents and Settings\guillaume\Mes documents\FTP\Cute FTP Professional 6.04\Crack CuteFTP Pro v6.04\patch.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
 
pour le fichier compressé d'Adobe reader, c'est normal, c'est le fichier d'installation, les antivirus ne décompressent pas les fichiers pour les analyer !





pour l'antivirus, il te signalé ce fichier :

rends toi sur ce site :

https://www.virustotal.com/gui/

*	Clique sur "Choose File"
*	Vas sur ton disque chercher ce fichier à cet emplacement :

C:\WINDOWS\system32\c_72654.nls


un rapport va s'élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message.

galileo87 · Answer

je crois que le scan est fini...

https://www.virustotal.com/gui/file/36acbf7d2b910ab0cc3e897d683068768036357ade16dc4a31220f1555e1f1e7

Utilisateur anonyme · Answer

je te propose un truc sim:mple,

trouve le fichier, change son nom en mettant un _old à la fin,


redémarre le pc pour voir s'il fonctionen corretcement, si c'est le cas, tu peux le virer, autrement, il faut remettre son nom comme c'était avant !

galileo87 · Answer

... et pour la menace détectée dans Avast, j'applique ou pas la mise en quarantaine avant de tout fermer et redémarrer le PC ?

Utilisateur anonyme · Answer

ne mets pas le fichier dans la quarantaine d'avast !

juste changer son nom pour voir si le pc fonctionne connecretement après un redémarrage !

galileo87 · Answer

j'ai renommé en    c_72654.nls_old
c'est bien ça ?

A priori, après arrêt/relance du PC, ça marche !

Utilisateur anonyme · Answer

ok, essaie tes programmes, si le pc et tes programmes tournent sans soucis, on le vire  ;-)

galileo87 · Answer

tout à l'air ok !

on le vire comment ? 
supprimer?corbeille?quarantaine de l'un ou l'autre? etc??

est ce qu'il faut passer un nouveau scan après ? 
si oui, avec quel logiciel (avast, zhp, etc) ?

Utilisateur anonyme · Answer

bah, vire le fichier manuellement ou avec Avast, à toi de choisir  ;-)




vire de nouveau le point de restauration système que tu viens de créer, puis après la suppression du fichier, crée en un autre  :D

sur ce et si tu n'as pas d'autres soucis, il ne me reste plus qu'à te souhaiter un bon surf  ;-)

galileo87 · Answer

en revenant aux nouvelles sur le site, je viens d'avoir un arrêt/relance du PC intempestif, et au démarrage la fenêtre d'erreur windows...


Je vais essayer de supprimer le fichier (corbeille) mais est ce que tu me conseilles ou pas de repasser 1 scan ??

Utilisateur anonyme · Answer

à toi de voir, mais il va te trouver l'installateur de Flash player de nouveau  :P

System Progressive Protection, ZeroAccess, Root.MBR, etc

52 réponses

Discussions similaires