Infesté avec écostartpage...

kigwen1 Messages postés 26 Date d'inscription   Statut Membre Dernière intervention   -  
 g3n-h@ckm@n -
Bonjour,
Depuis quelque jour je suis infesté par écostartpage que je ne parviens pas à retirer malgré l'aide du forum "Micro-hebdo".
je me tourne donc vers vous en esperant que parmi vos membres je trouverais quelqu'un de plus "Costaud " en informatique que sur le site de Micro-Hebdo.
Qui aura la gentillesse de me sortir de ce mauvais pas ?
Il parait que ce virus est particulièrement coriace à retirer...
Merci d'avance pour l'aide que vous pourrez m'apporter.

27 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    https://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

    afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

    C:\Pre_Scan\Process\Close.log

    0
  2. g3n-h@ckm@n
     
    t'as pas desactivé la sandbox d'avast recommence
    0
  3. kigwen1 Messages postés 26 Date d'inscription   Statut Membre Dernière intervention  
     
    ok je recommences.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. kigwen1 Messages postés 26 Date d'inscription   Statut Membre Dernière intervention  
     
    Voilà c'est fait.
    Je te remercie pour l'aide que tu veux bien m'apporter.
    Voici le rapport :

    https://www.cjoint.com/?BKBtFWU7KU3
    0
  6. g3n-h@ckm@n
     
    relance l'outil clique sur diag et heberge le rapport Pre_Diag et donne le lien
    0
  7. g3n-h@ckm@n
     
    faudra que tu changes tous tes mots de passe en fin de desifection

    ==

    desinstalle tout Java

    ==

    Attention !!! pense à re-désactiver tes protections

    Clique sur ce lien : https://www.cjoint.com/?BKBw55EB8aN

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  8. kigwen1 Messages postés 26 Date d'inscription   Statut Membre Dernière intervention  
     
    le rapport de Pre-Script.txt :

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1127 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    guillemaut : Windows 7 Home Premium (64 bits)

    Switchs : https://gen-hackman.kanak.fr/

    New restorepoint created

    Script : 23:55:08

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

    (1912) -- CLCapSvc.exe
    (1204) -- HauppaugeTVServer.exe
    (2284) -- taskhost.exe
    (2456) -- explorer.exe
    (2208) -- hpsysdrv.exe
    (944) -- SmartMenu.exe
    (2844) -- ipoint.exe
    (2880) -- sttray64.exe
    (2752) -- sidebar.exe
    (3628) -- MyTomTomSA.exe
    (3756) -- hpwuschd2.exe
    (3816) -- WinTVTray.exe
    (1904) -- PCMService.exe
    (3104) -- DivXMediaServer.exe
    (528) -- DivXUpdate.exe
    (4816) -- LMS.exe
    (4468) -- SearchIndexer.exe
    (2476) -- HPSA_Service.exe
    (2392) -- chrome.exe
    (1256) -- chrome.exe
    (1184) -- chrome.exe
    (3120) -- chrome.exe
    (4408) -- chrome.exe
    (4140) -- chrome.exe
    (4656) -- chrome.exe
    (1352) -- chrome.exe
    (804) -- chrome.exe
    (4124) -- chrome.exe
    (4736) -- chrome.exe
    (1712) -- chrome.exe
    (2252) -- chrome.exe
    (4472) -- taskeng.exe
    (2312) -- taskeng.exe

    ¤¤¤¤¤¤¤¤¤¤ | Firefox

    6kg8fl51.default : line Not Deleted : user_pref("browser.startup.homepage", "http://www.virtualregatta.com/inscription_pseudo.phpid_user=588709&clef=1440816b50b8abd725cf376217f59c89|http://sail.zezo.org/jv_mono/chart.plsid=9e30179a245833b0bcd2eaed03f3007a&o=0&wind=12&days=7&lon=-21.94140625&lat=11.8125&clon=-22.05078125&clat=11.53125|http://www.virtualregatta.com/index_vgv2012.phpplay=1|https://addons.mozilla.org/fr/firefox/addon/httpfox/developers");

    n03fxipt.default-1342508067161 : line Not Deleted : user_pref("browser.startup.homepage", "http://www.virtualregatta.com/inscription_pseudo.phpid_user=588709&clef=1440816b50b8abd725cf376217f59c89|http://sail.zezo.org/jv_mono/chart.plsid=9e30179a245833b0bcd2eaed03f3007a&o=0&wind=12&days=7&lon=-21.94140625&lat=11.8125&clon=-22.05078125&clat=11.53125|http://www.virtualregatta.com/index_vgv2012.phpplay=1|https://addons.mozilla.org/fr/firefox/addon/httpfox/developers");

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

    Service : LAVASOFT_KERNEXPLORER Not actif

    Deleted : [HKLM\..\CCS\..\Root\LEGACY_LAVASOFT_KERNEXPLORER]
    Deleted : [HKLM\..\CS001\..\Root\LEGACY_LAVASOFT_KERNEXPLORER]
    Deleted : [HKLM\..\CS002\..\Root\LEGACY_LAVASOFT_KERNEXPLORER]

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

    Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
    Value Deleted : [HKU\S-1-5-21-3634982301-2849106784-1111429640-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:AdobeBridge
    Value Deleted : [HKU64\S-1-5-21-3634982301-2849106784-1111429640-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:AdobeBridge
    Key Deleted : HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    Key Deleted : HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{d944bb61-2e34-4dbf-a683-47e505c587dc}
    Key Deleted : HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}
    Key Deleted : HKLM64\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}
    Key Deleted : HKLM64\Software\Microsoft\Internet Explorer\SearchScopes\{d944bb61-2e34-4dbf-a683-47e505c587dc}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
    Key Deleted : HKU\S-1-5-21-3634982301-2849106784-1111429640-1000\Software\ProtectedSearch
    Key Deleted : HKU64\S-1-5-21-3634982301-2849106784-1111429640-1000\Software\ProtectedSearch
    Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:TCP Query User{0D0C63C4-8AA8-4942-968D-2778ACCC113C}C:\users\guillemaut\appdata\local\mediaget2\mediaget.exe
    Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:UDP Query User{3B1A1F35-F7AF-4A49-A1F4-E1531EA2502A}C:\users\guillemaut\appdata\local\mediaget2\mediaget.exe
    Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:{95341247-9BFB-415B-889A-A708484E26A6}
    Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:{4F7E5B50-8D82-4982-B51D-E463D5CD7784}
    Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:{C935BA1A-B9C5-4BBE-8248-805E35E07D93}
    Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:{7D4FB279-A832-489B-9BF4-02AA19D9794F}

    ¤

    Folder Moved to quarantine successfully : |D| - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
    Folder Moved to quarantine successfully : |D| - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
    File Moved to quarantine successfully : |A| - F:\a*
    Folder Moved to quarantine successfully : |D| - C:\ProgramData\Spybot - Search & Destroy
    File Moved to quarantine successfully : |A| - C:\Windows\'ú¶
    C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} : Not Found !
    Folder Moved to quarantine successfully : |D| - C:\Program Files (x86)\Revealer-Keylogger-Free-Edition
    Folder Moved to quarantine successfully : |D| - C:\Users\guillemaut\temp
    File Moved to quarantine successfully : |A| - C:\Windows\system32\config\systemprofile\AppData\Roaming\GhostObjGAFix.xml
    Folder Moved to quarantine successfully : |D| - C:\Users\guillemaut\Desktop\Revealer Keylogger Free
    File Moved to quarantine successfully : |A| - C:\Users\guillemaut\Downloads\a*
    File Moved to quarantine successfully : |A| - C:\Users\guillemaut\Downloads\E*
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy : Not Found !
    Folder Moved to quarantine successfully : |D| - C:\Users\guillemaut\AppData\Local\2012
    Folder Moved to quarantine successfully : |D| - C:\Users\guillemaut\AppData\Local\Pando_Temp
    C:\Windows\System32\Tasks\Ad-Aware Update (Weekly) : Not Found !
    C:\Windows\System32\Tasks\{ABE703C3-1B08-4638-805C-7AF19F0C3712} : Not Found !
    : Not Found !
    Clean:: : Not Found !

    ¤¤¤¤¤¤¤¤¤¤ | Edition : C:\Windows\system32\E302AF636FDE.ini

    [License]
    UsedTimes=4
    FirstTime=2012-11-24
    name=guillemaut
    code=WCKCM-UFK2C-S8VYA-DDS8G-J4A3E

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | MBR

    Windows Version: Windows 7 Home Premium Edition
    Windows Information: Service Pack 1 (build 7601), 64-bit
    Base Board Manufacturer: PEGATRON CORPORATION
    BIOS Manufacturer: AMI
    System Manufacturer: Hewlett-Packard
    System Product Name: p6715fr
    Logical Drives Mask: 0x00007ffc

    Analysis of file "C:\Pre_Scan\MBR.bin":
    Windows 2008 MBR code detected

    ¤

    End : 23:55:16

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  9. g3n-h@ckm@n
     
    tu connais ce site http://sail.zezo.org ?
    0
    1. kigwen1 Messages postés 26 Date d'inscription   Statut Membre Dernière intervention  
       
      oui, je connais, je fais le Vendée-Globe. Pourquoi ?
      0
  10. kigwen1 Messages postés 26 Date d'inscription   Statut Membre Dernière intervention  
     
    Bon , je vais me coucher, demain matin je ne serais pas là, mais je regarderais dès mon retour.Dis moi quand je pourrais changer mes mots de passes. Merci
    0
  11. g3n-h@ckm@n
     
    ok donc c est bon

    ========

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  12. kigwen1 Messages postés 26 Date d'inscription   Statut Membre Dernière intervention  
     
    voilà le rapport de Malwarebye :

    Malwarebytes Anti-Malware 1.65.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.11.28.04

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    guillemaut :: GUILLEMAUT-HP [administrateur]

    28/11/2012 12:57:08
    mbam-log-2012-11-28 (12-57-08).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|N:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 595804
    Temps écoulé: 1 heure(s), 18 minute(s), 10 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    C:\Pre_Scan\Quarantine\C'_Program Files (x86)_Revealer-Keylogger-Free-Edition .P_S\rkfree.exe (Keylogger.Logixoft) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\guillemaut\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  13. kigwen1 Messages postés 26 Date d'inscription   Statut Membre Dernière intervention  
     
    écostartpage à pour l'instant disparu, je croises les doigts en espérant que ce sera pour longtemps! merci pour l'aide.
    Peux tu me dire d'ou celà venait ?
    0
  14. kigwen1 Messages postés 26 Date d'inscription   Statut Membre Dernière intervention  
     
    ok, Merci beaucoup !
    0
  15. kigwen1 Messages postés 26 Date d'inscription   Statut Membre Dernière intervention  
     
    rapport DelFix :

    # DelFix v6.2 - Rapport créé le 29/11/2012 à 18:44:47
    # Mis à jour le 11/11/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : guillemaut - GUILLEMAUT-HP
    # Exécuté depuis : N:\Téléchargements\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\_OTL
    Supprimé : C:\pre_scan
    Supprimé : C:\ZHP
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
    Supprimé : C:\Users\guillemaut\Desktop\RK_Quarantine
    Supprimé : C:\Program Files (x86)\Ad-Remover
    Supprimé : C:\Program Files (x86)\ZHPDiag

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\Ad-Report-CLEAN[1].txt
    Supprimé : C:\Ad-Report-SCAN[1].txt
    Supprimé : C:\AdwCleaner[R1].txt
    Supprimé : C:\AdwCleaner[R2].txt
    Supprimé : C:\AdwCleaner[R3].txt
    Supprimé : C:\AdwCleaner[S2].txt
    Supprimé : C:\AdwCleaner[S3].txt
    Supprimé : C:\AdwCleaner[S4].txt
    Supprimé : C:\Pre_Diag_27_11_2012_21_40_39.txt
    Supprimé : C:\Pre_Scan_27_11_2012_13_48_05.txt
    Supprimé : C:\Pre_Scan_27_11_2012_18_39_06.txt
    Supprimé : C:\Users\guillemaut\Desktop\AD-R.lnk
    Supprimé : C:\Users\guillemaut\Desktop\adwcleaner.exe
    Supprimé : C:\Users\guillemaut\Desktop\Defogger.exe
    Supprimé : C:\Users\guillemaut\Desktop\defogger_disable.log
    Supprimé : C:\Users\guillemaut\Desktop\defogger_enable.log
    Supprimé : C:\Users\guillemaut\Desktop\Extras.Txt
    Supprimé : C:\Users\guillemaut\Desktop\OTL.Txt
    Supprimé : C:\Users\guillemaut\Desktop\OTL.exe
    Supprimé : C:\Users\guillemaut\Desktop\Pre_Scan.pif
    Supprimé : C:\Users\guillemaut\Desktop\Pre_script.txt
    Supprimé : C:\Users\guillemaut\Desktop\RKreport[1]_S_26112012_093151.txt
    Supprimé : C:\Users\guillemaut\Desktop\RKreport[2]_S_26112012_093441.txt
    Supprimé : C:\Users\guillemaut\Desktop\RogueKiller.exe
    Supprimé : C:\Users\guillemaut\Desktop\ZHPDiag2.exe
    Supprimé : C:\Users\guillemaut\Desktop\ZHPFixReport.txt
    Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
    Supprimé : C:\Users\guillemaut\Downloads\Pre_Scan.pif

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\Software\Ad-Remover
    Clé Supprimée : HKCU\Software\g3n-h@ckm@n
    Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
    Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [2547 octets] - [29/11/2012 18:44:47]

    ########## EOF - C:\DelFix[S1].txt - [2671 octets] ##########
    0
  • 1
  • 2