Infection PC par trojan.hosts.6211

Résolu/Fermé
alex75017 Messages postés 7 Date d'inscription mercredi 26 décembre 2012 Statut Membre Dernière intervention 27 décembre 2012 - 26 déc. 2012 à 20:07
alex75017 Messages postés 7 Date d'inscription mercredi 26 décembre 2012 Statut Membre Dernière intervention 27 décembre 2012 - 27 déc. 2012 à 17:52
Bonjour,


Depuis quelques jours, mon PC a un virus qui m empeche l'acces à mon bureau quand je l'allume et me redirige vers des pages de pub qd je fais une recherche google.
Après utilisation de DR.Web, il apparait que j ai un virus dénommé trojan.hosts.6211
Par contre, il est impossible pour moi de supprimer ce virus avec Dr.Web qui échoue systématiquement.
Quelqu'un pourrait il me conseiller?
En vous remerciant par avance.
A voir également:

11 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
26 déc. 2012 à 20:11
Salut,

Fais un scan OTL

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/



* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.



0
alex75017 Messages postés 7 Date d'inscription mercredi 26 décembre 2012 Statut Membre Dernière intervention 27 décembre 2012
26 déc. 2012 à 21:34
Merci pour ta réponse rapide!
J'ai donc effectuer ce que tu me disais!
voici le lien pour le rapport https://pjjoint.malekal.com/files.php?id=20121226_q10n1015j7v6

Merci pour ton aide
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
26 déc. 2012 à 21:40
Infecté.
Y a aussi pas mal de programmes parasites et adware : Lollipop, Sweetpack, Yontoo, Babylon, Dealpy etc.



Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
CHR - homepage: http://home.sweetim.com/?st=6&barid={3BBA33E7-FDD2-11E1-BDE6-0026B640FF4A}
CHR - default_search_provider: suggest_url =
CHR - homepage: http://home.sweetim.com/?st=6&barid={3BBA33E7-FDD2-11E1-BDE6-0026B640FF4A}
CHR - Extension: Savings Sidekick = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dhdepfaagokllfmhfbcfmocaeigmoebo\1.20.40_0\crossrider
CHR - Extension: Savings Sidekick = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dhdepfaagokllfmhfbcfmocaeigmoebo\1.20.40_0\
CHR - Extension: Babylon Toolbar = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.7_0\
CHR - Extension: DealPly = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gaiilaahiahdejapggenmdmafpmbipje\3.0.7.2\
CHR - Extension: SweetIM for Facebook = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
CHR - Extension: SweetPacks Chrome Extension = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.1.0.1_0\
CHR - Extension: Smart Display = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.2_0\
CHR - Extension: Savings Sidekick = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dhdepfaagokllfmhfbcfmocaeigmoebo\1.20.40_0\crossrider
CHR - Extension: Savings Sidekick = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dhdepfaagokllfmhfbcfmocaeigmoebo\1.20.40_0\
CHR - Extension: Babylon Toolbar = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.7_0\
CHR - Extension: DealPly = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gaiilaahiahdejapggenmdmafpmbipje\3.0.7.2\
CHR - Extension: SweetIM for Facebook = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
CHR - Extension: SweetPacks Chrome Extension = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.1.0.1_0\
CHR - Extension: Smart Display = C:\Documents and Settings\thomas bigot\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.2_0\
O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.7529.1424\swg.dll (Google Inc.)
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC)
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Program Files\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKCU..\Run: [mmlkjji] c:\documents and settings\thomas bigot\local settings\application data\lollipop\mmlkjji.exe (
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\applic~1\codecs~1\22529~1.166\{16cdf~1\codecm~1.dll) - c:\Documents and Settings\All Users\Application Data\Codecs Pack\2.2.529.166\{16cdff19-861d-48e3-a751-d99a27784753}\codecmngr.dll ()
[2012/12/26 15:01:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\thomas bigot\Mes documents\searchplugins
[2012/10/01 21:02:15 | 000,102,400 | RHS- | C] () -- C:\WINDOWS\System32\eappcfgh.dll
[2012/07/27 21:27:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon
[2012/07/27 21:27:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\thomas bigot\Application Data\Babylon
[2012/10/29 08:01:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\thomas bigot\Application Data\BabylonToolbar


* redemarre le pc sous windows et poste le rapport ici


~~


Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel par éditeurs.
L'éditeur touche de l'argent à chaque installation réussie de ces additionnels tiers (un genre de sponsoring).
Seulement certains éditeurs, abusent, pour gagner plus d'argent, ils redistribuent des logiciels libres développés par des bénévoles en y ajoutant ces logiciels additionnels.
Des publicités trompeuses peuvent aussi être utilisées pour faire installer ces logiciels.

Outre le fait que les procédés sont discutables, l'accumulation de ces programmes additionnels non essentiels concourent à ralentir considérablement l'ordinateur (peux aussi faire planter les navigateurs WEB).
Certains font aussi du tracking anonymes (récupérations des thématiques de sites visités).

Les même abus existent avec les barres d'outils :
Les barres d'outils sont là pour vous affilier à un service (moteur de recherche de Yahoo! ou Google), cela ajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sitesvisités pour les transmettre (tracking) afin de faire de la publicité ciblée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser car cela apporte plus de problèmes qu'autre chose.

Lire :
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
et Faux plugins VLC : https://forum.malekal.com/viewtopic.php?t=29633&start=
Les toolbars c'est pas obligatoire! : https://forum.malekal.com/viewtopic.php?t=6173&start=


Télécharge https://toolslib.net AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


0
alex75017 Messages postés 7 Date d'inscription mercredi 26 décembre 2012 Statut Membre Dernière intervention 27 décembre 2012
26 déc. 2012 à 23:01
Voici le rapport suite au scan OTL, https://pjjoint.malekal.com/files.php?id=20121226_g12w6f7y5r12

concernant, adwcleaner, j'arrive pas à aller à la fin du scan, ca plante entre temps
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
27 déc. 2012 à 11:40
Pour OTL ce n'est pas un rapport de correction.
Relis la procédure.

Pour AdwCleaner, essaye en mode sans échec.
0
alex75017 Messages postés 7 Date d'inscription mercredi 26 décembre 2012 Statut Membre Dernière intervention 27 décembre 2012
27 déc. 2012 à 12:55
Voici le lien pour le rapport adwcleaner
https://pjjoint.malekal.com/files.php?id=20121227_t10u9w14x10i11

concernant OTL je suis dsl mais je n ai pas bien compris la procédure
0
alex75017 Messages postés 7 Date d'inscription mercredi 26 décembre 2012 Statut Membre Dernière intervention 27 décembre 2012
27 déc. 2012 à 14:14
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
27 déc. 2012 à 16:39
Vérifie, si tu as encore des redirections lors des recherches Google.
0
alex75017 Messages postés 7 Date d'inscription mercredi 26 décembre 2012 Statut Membre Dernière intervention 27 décembre 2012
27 déc. 2012 à 17:49
A priori, tout est OK!!
je ton remercie pour ton aide très précieuse!!
merci bcp pour le temps consacré!!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
27 déc. 2012 à 17:50
Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
0
alex75017 Messages postés 7 Date d'inscription mercredi 26 décembre 2012 Statut Membre Dernière intervention 27 décembre 2012
27 déc. 2012 à 17:52
Merci pour tes conseils, je mets à jour tout ca dès ce soir!!
0