The Styx Sployt Pack targets vulnerabilities on Java, PDF, Flash Résolu/Fermé

Question

Bonjour,  

Voilà, quand je me connecte à un site  j'ai une alerte de McAffee  


Threat name: Exploit Styx Sploit Pack (type 1937) 
File name libslist.com/boYJHSOt45JODBJ..... 

J'ai ça uniquement en allant voir ce site.... 

J'ai fait un nettoyage de mon pc, rien trouvé...  

Ce serait le site qui serait infecté ? 




Configuration: Windows 7 / Internet Explorer 9.0

juju666 · Answer

Salut,

Oui, un hack.

Malekal_morte- · Answer

Salut,

Le site s'est fait pirater pour rediriger les internautes vers du contenu malicieux et infecter leurs ordinateurs.
Evite le site pendant qq temps, le temps que le webmaster corrige le prb.

Lire : https://forum.malekal.com/viewtopic.php?t=3563&start=

sophie4230 · Answer

Merci Juju,

mon pc ne craint donc rien ?

Je ne devrais pas avertir la personne responsable du site de ce qu'il se passe ?

juju666 · Answer

Bah s'il est pas assez grand pour voir qu'il s'est fait hacker ...
Nan si mac à fric a bloqué la menace ça craint rien :)

sophie4230 · Answer

Ce qui est bizarre, c'est que quand je me connecte depuis la maison avec avast comme anti-virus je n'ai aucune alerte, il n'y que du bureau avec McAffee que j'ai une alerte... c'est un peu bizarre comme truc non ?

juju666 · Answer

java à jour au taf ? 
j'en doute.

sophie4230 · Answer

je n'en sais rien, mais je me demandais justement après ce que j'ai lu si ce ne serait pas à cause du fait que les pc ne sont pas à jour niveau java au travail... ça pourrait provenir de ça ?

juju666 · Answer

Oui.
Les exploits ... exploitent les failles de sécurité des anciennes versions.

Malekal_morte- · Answer

Ca met ZeroAccess comme Malware.

Eventuellement sur le PC où il y a Avast!, passe un coup de Roguekiller:

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

sophie4230 · Answer

Donc le souci ne vient pas du site, mais du pc du bureau qui n'est pas mis à jour au niveau de java, si j'ai bien tout compris....

C'est un peu du chinois pour moi tout ça...

sophie4230 · Answer

ok  Malekal_morte, je fais ça directement et je vous dit quoi...

juju666 · Answer

Ouais j'ai pas vérifié le site non plus.
A voir pour max++ ...

sophie4230 · Answer

RogueKiller V8.5.2 [Mar 9 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Sophie [Droits d'admin] Mode : Recherche -- Date : 10/03/2013 16:03:20 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 4 ¤¤¤ [BLACKLIST] BrowserProtect.exe -- C:\ProgramData\BrowserProtect\2.5.986.67\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc] [BLACKLIST] BrowserProtect.exe -- C:\ProgramData\BrowserProtect\2.5.986.67\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc] [RESIDUE] BrowserProtect.exe -- C:\ProgramData\BrowserProtect\2.5.986.67\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc] [RESIDUE] BrowserProtect.exe -- C:\ProgramData\BrowserProtect\2.5.986.67\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 4 ¤¤¤ [Services][BLACKLIST] HKLM\[...]\ControlSet001\Services\BrowserProtect (C:\ProgramData\BrowserProtect\2.5.986.67\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe) [7] -> TROUVÉ [Services][BLACKLIST] HKLM\[...]\ControlSet002\Services\BrowserProtect (C:\ProgramData\BrowserProtect\2.5.986.67\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe) [7] -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD10EADX-22TDHB0 +++++ --- User --- [MBR] aa84a627728121a2292272e3a11cda12 [BSP] 66af687eadcee430b39183e6ff76c88a : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 20480 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 41945088 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 42149888 | Size: 466382 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 997300224 | Size: 466905 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_10032013_160320.txt >> RKreport[1]_S_10032013_160320.txt

juju666 · Answer

apa ZA mais spybot poubelle et des adwares :)

sophie4230 · Answer

Voilà le rapport du pc vérifier, celà c'est mon personnel, celui qui ne me signale jamais de souci...

Malekal_morte- · Answer

Faudrait faire AdwCleaner, y a BrowserProtection.

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

sophie4230 · Answer

ok

sophie4230 · Answer

# AdwCleaner v2.114 - Rapport créé le 10/03/2013 à 16:11:29
# Mis à jour le 05/03/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Sophie - SOPHIE-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Sophie\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Services] *****

Présent : BrowserProtect

***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Program Files (x86)\Conduit
Dossier Présent : C:\Program Files (x86)\Desk 365
Dossier Présent : C:\Program Files (x86)\file scout
Dossier Présent : C:\Program Files (x86)\search results toolbar
Dossier Présent : C:\Program Files (x86)\Searchqu Toolbar
Dossier Présent : C:\Program Files (x86)\VideoDownloadConverter_4z
Dossier Présent : C:\ProgramData\Ask
Dossier Présent : C:\ProgramData\boost_interprocess
Dossier Présent : C:\ProgramData\Browser Manager
Dossier Présent : C:\ProgramData\BrowserProtect
Dossier Présent : C:\ProgramData\Tarma Installer
Dossier Présent : C:\ProgramData\Trymedia
Dossier Présent : C:\Users\Sophie\AppData\Local\Conduit
Dossier Présent : C:\Users\Sophie\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgafcinpmmpklohkojmllohdhomoefph
Dossier Présent : C:\Users\Sophie\AppData\Local\Savings Sidekick
Dossier Présent : C:\Users\Sophie\AppData\Local\Software
Dossier Présent : C:\Users\Sophie\AppData\Local\VideoDownloadConverter_4z
Dossier Présent : C:\Users\Sophie\AppData\LocalLow\Conduit
Dossier Présent : C:\Users\Sophie\AppData\LocalLow\ilividtoolbarguid
Dossier Présent : C:\Users\Sophie\AppData\LocalLow\Searchqutoolbar
Dossier Présent : C:\Users\Sophie\AppData\LocalLow\VideoDownloadConverter_4z
Dossier Présent : C:\Users\Sophie\AppData\Roaming\Desk 365
Dossier Présent : C:\Users\Sophie\AppData\Roaming\file scout
Dossier Présent : C:\Users\Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect
Dossier Présent : C:\Users\Sophie\AppData\Roaming\OpenCandy
Dossier Présent : C:\Users\Sophie\AppData\Roaming\PerformerSoft
Fichier Infecté : C:\Users\Sophie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\22find.lnk ( arg. : hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589958&type=desktopicon)
Fichier Infecté : C:\Users\Sophie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk ( arg. : hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589951)
Fichier Infecté : C:\Users\Sophie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk ( arg. : hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589951)
Fichier Infecté : C:\Users\Sophie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk ( arg. : hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589951)
Fichier Infecté : C:\Users\Sophie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk ( arg. : hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589951)
Fichier Infecté : C:\Users\Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk ( arg. : hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589951)
Fichier Infecté : C:\Users\Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk ( arg. : hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589951)
Fichier Infecté : C:\Users\Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk ( arg. : hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589951)
Fichier Présent : C:\END
Fichier Présent : C:\user.js
Fichier Présent : C:\Users\Sophie\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences

***** [Registre] *****

Clé Présente : HKCU\Software\AppDataLow\Software\Conduit
Clé Présente : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Clé Présente : HKCU\Software\AppDataLow\Software\Crossrider
Clé Présente : HKCU\Software\AppDataLow\Software\Savings Sidekick
Clé Présente : HKCU\Software\AppDataLow\Software\SmartBar
Clé Présente : HKCU\Software\AppDataLow\Software\Toolbar
Clé Présente : HKCU\Software\DataMngr
Clé Présente : HKCU\Software\ilivid
Clé Présente : HKCU\Software\InstallCore
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Présente : HKCU\Software\Softonic
Clé Présente : HKCU\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Présente : HKCU\Software\d538f8ab43bea15
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Présente : HKLM\SOFTWARE\Classes\Applications\ilividsetup.exe
Clé Présente : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap
Clé Présente : HKLM\SOFTWARE\Classes\Toolbar.CT3227982
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{03119103-0854-469D-807A-171568457991}
Clé Présente : HKLM\SOFTWARE\Classes\VideoDownloadConverter_4z.HTMLMenu
Clé Présente : HKLM\SOFTWARE\Classes\VideoDownloadConverter_4z.HTMLMenu.1
Clé Présente : HKLM\SOFTWARE\Classes\VideoDownloadConverter_4z.SkinLauncher
Clé Présente : HKLM\SOFTWARE\Classes\VideoDownloadConverter_4z.SkinLauncher.1
Clé Présente : HKLM\Software\Conduit
Clé Présente : HKLM\Software\DataMngr
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\iLivid_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\iLivid_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\Savings Sidekick_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\Savings Sidekick_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{71144427-1368-4D18-8DC9-2AE3CC4C4F83}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{13119113-0854-469D-807A-171568457991}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{33119133-0854-469D-807A-171568457991}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{71144427-1368-4D18-8DC9-2AE3CC4C4F83}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{23119123-0854-469D-807A-171568457991}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\d538f8ab43bea15
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dhdepfaagokllfmhfbcfmocaeigmoebo
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
iapdbllcanepiiimjjndipklodoedlc
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\pgafcinpmmpklohkojmllohdhomoefph
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{17B10E59-09E1-4C39-A738-6774D7AB7778}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{23119123-0854-469D-807A-171568457991}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{47700C35-9E3E-4DAD-934C-0CE28A87237C}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{72063D77-7590-4DA9-A7F8-F5ECAF3632C4}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Clé Présente : HKLM\SOFTWARE\Tarma Installer
Clé Présente : HKU\S-1-5-21-4271189415-1428984827-3478194144-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Valeur Présente : HKCU\Software\Mozilla\Firefox\extensions [{58BD07EB-0EE0-4DF0-8121-DC9B693373DF}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [EoWeather]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16464

[HKCU\Software\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589957
[HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589957
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589957

-\ Google Chrome v25.0.1364.152

Fichier : C:\Users\Sophie\AppData\Local\Google\Chrome\User Data\Default\Preferences

Présente [l.30] : keyword = "22find.com",
Présente [l.33] : search_url = "hxxp://search.22find.com/web/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589958&type=default&q={searchTerms}",
Présente [l.1948] : homepage = "hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589951",
Présente [l.2316] : urls_to_restore_on_startup = [ "hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD10EADX-22TDHB0_WD-WCAV5U52238522385&ts=1362589951" ]

*************************

AdwCleaner[R1].txt - [11051 octets] - [10/03/2013 16:11:29]

########## EOF - C:\AdwCleaner[R1].txt - [11112 octets] ##########

Malekal_morte- · Answer

pas mal de programmes pourris.

Pour voir si y a pas autre chose :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message. 
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

sophie4230 · Answer

je vais essayer, mais là c'est compliqué... mais donc le souci ne vient pas du site, mais du pc qui s'y connecte ?

sophie4230 · Answer

ça tourne toujours.... je ne suis pratiquement jamais sur mon pc à la maison... c'est les enfants qui vont dessus...

sophie4230 · Answer

bon c'est fait, mais pour le lien du rapport, ça je trouve pas du tout...

sophie4230 · Answer

https://pjjoint.malekal.com/files.php?id=20130310_f6q15w6d11x7

sophie4230 · Answer

https://pjjoint.malekal.com/files.php?id=OTL_20130310_j5d7g6o12l13

Malekal_morte- · Answer

Désinstalle Bingbar.


Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
[2013/03/10 16:13:24 | 000,001,180 | ---- | M] () -- C:\Users\Sophie\Application Data\Microsoft\Internet Explorer\Quick Launch\22find.lnk 
CHR - Extension: Smiley Bar for Facebook = C:\Users\Sophie\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgojaaaiddhmiiakpejiklijbalpckih\1.0.0.5\
CHR - Extension: 22find = C:\Users\Sophie\AppData\Local\Google\Chrome\User Data\Default\Extensions\ijblflkdjdopkpdgllkmlbgcffjbnfda\2.0.1_0\
CHR - default_search_provider: 22find (Enabled)
[2013/03/05 17:47:03 | 000,000,000 | ---D | M] (Smiley Bar for Facebook) -- C:\Users\Sophie\AppData\Roaming\mozilla\Extensions\statuswinks@StatusWinks 

* redemarre le pc sous windows et poste le rapport ici

sophie4230 · Answer

========== OTL ==========
C:\Users\Sophie\Application Data\Microsoft\Internet Explorer\Quick Launch\22find.lnk moved successfully.
File C:\Users\Sophie\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgojaaaiddhmiiakpejiklijbalpckih\1.0.0.5 not found.
C:\Users\Sophie\AppData\Local\Google\Chrome\User Data\Default\Extensions\ijblflkdjdopkpdgllkmlbgcffjbnfda\2.0.1_0 folder moved successfully.
Use Chrome's Settings page to remove the default_search_provider items.
C:\Users\Sophie\AppData\Roaming\mozilla\Extensions\statuswinks@StatusWinks\chrome\skin folder moved successfully.
C:\Users\Sophie\AppData\Roaming\mozilla\Extensions\statuswinks@StatusWinks\chrome\content\mz folder moved successfully.
C:\Users\Sophie\AppData\Roaming\mozilla\Extensions\statuswinks@StatusWinks\chrome\content folder moved successfully.
C:\Users\Sophie\AppData\Roaming\mozilla\Extensions\statuswinks@StatusWinks\chrome folder moved successfully.
C:\Users\Sophie\AppData\Roaming\mozilla\Extensions\statuswinks@StatusWinks folder moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 03102013_201257


C'est super sympa tout ce temps que tu prends pour m'aider ! 1000 mercis !

Malekal_morte- · Answer

C'est bon pour les programmes parasites :)

A faire lire à tes enfants :

Attention à ce que tu installes et installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.        
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.       
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.        
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés. C'est notamment le cas sur 01net et Softonic qu'ils est conseillé d'éviter comme sites de téléchargement.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installer des barres d'outils sans le savoir.

~~

Eventuellement, tu peux les mettre dans une session limitée, si tu veux pas qu'ils pourrissent tout le PC et installe n'importe quoi : https://forum.malekal.com/viewtopic.php?t=19316&start=

sophie4230 · Answer

merci, je vais les limiter... c'est infernal ça.... d'ailleurs je vais remettre un mot de passe sur l'ordi, ils n'ont pas à y aller si un adulte n'est pas présent !
Heureusement que tu étais là pour m'aider !

Et pour ce site en fait, alors c'est le site qui est infecté si j'ai bien compris, donc je ne dois plus y aller lire les articles ?

The Styx Sployt Pack targets vulnerabilities on Java, PDF, Flash

28 réponses

Discussions similaires