Checkup sécurité

Plow -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,

Récemment, je me suis tapé un publiciel qui m'ouvrait des pages non recommandées par WOT tout le temps. Je n'ai plus de problème après avoir passé un coup de ADWCleaner, mais je pense qu'il était temps de faire un petit checkup niveau sécurité. Ainsi, si un helper peut me prendre en main, se serait avec plaisir :)

Voici le rapport :
# AdwCleaner v2.112 - Rapport créé le 16/02/2013 à 21:13:47
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : ayu - AYU-SFDP
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\ayu\Downloads\adwcleaner0.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Giant Savings
Dossier Supprimé : C:\Program Files (x86)\Webplayer setup
Dossier Supprimé : C:\ProgramData\Ask
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\Users\~1\AppData\Local\Temp\AskSearch
Dossier Supprimé : C:\Users\ayu\AppData\Local\Giant Savings
Dossier Supprimé : C:\Users\ayu\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndkhncnongaclekkbelchmeafffimifj
Dossier Supprimé : C:\Users\ayu\AppData\Local\lollipop
Dossier Supprimé : C:\Users\ayu\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\ayu\AppData\Roaming\WebPlayerBdd

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
Clé Supprimée : HKCU\Software\AppDataLow\Software\Giant Savings
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Cr_Installer
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\InstalledBrowserExtensions
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011441179}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011441179}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\lollipop
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0004479.BHO
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0004479.BHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0004479.FBApi
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0004479.FBApi.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0004479.Sandbox
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0004479.Sandbox.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\S
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{44444444-4444-4444-4444-440044444479}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{11111111-1111-1111-1111-110011441179}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{22222222-2222-2222-2222-220022442279}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{33333333-3333-3333-3333-330033443379}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{55555555-5555-5555-5555-550055445579}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{66666666-6666-6666-6666-660066446679}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{77777777-7777-7777-7777-770077447779}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ndkhncnongaclekkbelchmeafffimifj
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011441179}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011441179}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Giant Savings
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{55555555-5555-5555-5555-550055445579}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66666666-6666-6666-6666-660066446679}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{77777777-7777-7777-7777-770077447779}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [lollipop]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16464

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v18.0.2 (fr)

Fichier : C:\Users\ayu\AppData\Roaming\Mozilla\Firefox\Profiles\wttjkqyz.default\prefs.js

C:\Users\ayu\AppData\Roaming\Mozilla\Firefox\Profiles\wttjkqyz.default\user.js ... Supprimé !

Supprimée : user_pref("browser.startup.homepage", "hxxps://www.google.fr/|hxxp://ogame.fr/|hxxp://virtualsanctua[...]

-\\ Google Chrome v24.0.1312.57

Fichier : C:\Users\ayu\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [4963 octets] - [16/02/2013 21:13:04]
AdwCleaner[S1].txt - [5056 octets] - [16/02/2013 21:13:47]

########## EOF - C:\AdwCleaner[S1].txt - [5116 octets] ##########

9 réponses

  1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    salut

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://www.archive-host.com (renommé winlogon)

    ou

    http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
    1. Plow
       
      PreScan a planté. Je te joint la capture :
      http://img171.imageshack.us/img171/5858/erreurprescan.png
      0
  2. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    le WMI est touché relance-le il devrait passer j'y ai mis une sécurité dans les cas comme ca
    0
    1. Plow
       
      Déjà fait, il a replanté. J'ai reboot. Je réessaye ?
      0
    2. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      bizarre sur mes machines il plante pas...

      tu desactives bien tes protections? sinon en mode sans echec
      0
    3. Plow
       
      A priori, oui tout est bon : j'ai dans les problèmes windows "Activez Windows Defender" et "Téléchargez un logiciel antivirus". Donc tout devrait être bon.
      Malware Byte est désactivé, et Windows defender aussi. Je tente en sans echec.
      0
    4. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      ok
      0
    5. Plow
       
      Non, même en mode sans echec.
      0
  3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    fais voir le bout de rapport qui est dans c:\ ?
    0
  4. Plow
     
    Je n'ai meme pas de rapports.
    Voilà les 2 bouts que j'ai trouvé dans le dossier prescan :

    Debug :
    [Perm_Reg]
    [Rest_Reg_Tmgr_A]
    [Rest_Reg_Tmgr_B]
    [Stop_Proc]
    [List_sess]
    [Recup_List_File]
    [Perm_Reg]
    [Perm_Reg]
    [Rest_Reg_Tmgr_A]
    [Rest_Reg_Tmgr_B]
    [Stop_Proc]
    [List_sess]
    [Recup_List_File]

    txt :
    (612) -- userinit.exe
    (368) -- explorer.exe
    (300) -- ctfmon.exe
    (1196) -- HelpPane.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    c''est bon j'ai corrigé une erreur

    supprime le dossier pre_scan , retelecharge-le et relance-le
    0
  7. Plow
     
    Voilà qui est fait.

    http://cjoint.com/data/0BrptJyxaOZ.htm
    En consultant le rapport, j'ai vu qu'il y avait pas mal de choses mises en quarantaine qui n'auraient pas dut, tel que
    window-on-top.exe
    tor-browser-2.3.25-2_en-US.exe
    par exemple.

    Cordialement,
    0
  8. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    c'est que des executables et non le programe installé

    relance l outil , clique sur diag et heberge le rappport Pre_diag puis donne le lien
    0
  9. Plow
     
    Et voilà
    http://cjoint.com/data/0BspuQRbF3i.htm
    0
  10. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    re

    desinstalle webplayer

    ===

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0