Boxore et toolbar Résolu/Fermé

Question

Bonjour, 
Je viens à nouveau vers vous pour un problème d'adware.
Une connaissance m'a parlé que sont PC affichait des pubs non désirées, après passage de mbam, boxore a été trouvé; du coup j'ai passé un coup d'awcleaner.

Voici le résultat des différent scan: Mbam en analyse rapide: https://www.cjoint.com/c/CEhudx4u5m3
Mbam en analyse complète: https://www.cjoint.com/c/CEhueGaPWpb
Adwcleaner (analyse): https://www.cjoint.com/c/CEhugQ90IT4
Adwcleaner (suppression): https://www.cjoint.com/c/CEhuhBKoUZa

Pour information, j'ai viré "manuellement" via ajout/suppression de Windows plusieurs cochonneries (sweetIM et diverses toolbar) entre le scan de mbam et celui d'adwcleaner
J'ai aussi passé un coup de ccleaner entre les 2 logiciels (800 ou 900 Mo de virer). 
Tout ça a été fait il y a 2 jours; et j'ai d'effectuer un zhpdiag aujourd'hui dont voici le rapport:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130510_e10l7m8q6r11

J'espère encore une fois que quelqu'un sera en mesure de désinfecter ce pc. Merci d'avance à celui qui va s'y coller :)

Edit: Dans Google chrome j'ai viré manuellement 2 moteurs de recherche qui ne me plaisaient pas ( sweetIM et delta-search )

juju666 · Answer

Salut,

Tu as déjà bien bossé il ne reste que des détails.

PC Speed Maximizer <= arnaque à désinstaller
Les DNS en amérique c'est normal ? Il s'est déjà rendu ou se rend aux states ?

~~

Copie ce texte : 

G2 - GCE: Preference [User Data\Default] [mjdepfkicdcciagbigfcmdhknnoaaegf] Word CaptureX Extension v.1.1 (Désactivé)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:PC Speed Maximizer
O4 - HKCU\..\Run: [PC Speed Maximizer] C:\Program Files\PC Speed Maximizer\SPMLauncher.exe (.not file.)    
O4 - HKUS\S-1-5-21-2539318580-3251294829-1338140365-1000\..\Run: [PC Speed Maximizer] C:\Program Files\PC Speed Maximizer\SPMLauncher.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [Updater19962.exe] (...) -- C:\Users\renaud\AppData\Local\Updater19962\Updater19962.exe (.not file.)   [0]   
[HKCU\Software\SweetIM]     
[HKLM\Software\SweetIM]   
O43 - CFD: 28/03/2013 - 18:03:44 - [0] ----D C:\Users\renaud\AppData\Local\Software     
[MD5.36179B382A989075FF5FA282434F6892] [SPRF][21/03/2013] (.Babylon Ltd. - Uninstaller Application.) -- C:\Users\renaud\AppData\Local\Temp\uninst1.exe   [394736]    
O87 - FAEL: "{FA0CBCC1-A275-469B-B9F9-BCBD2ED62C25}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)     
O87 - FAEL: "{2214FA3A-077B-4950-83E3-9E25C60CF60F}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)    
[HKCU\Software\SweetIM]     
[HKLM\Software\SweetIM]    
[HKLM\Software\Microsoft\Tracing\OfferBoxHTTPProxy_RASAPI32]     
[HKLM\Software\Microsoft\Tracing\OfferBoxHTTPProxy_RASMANCS]    
[HKLM\Software\Microsoft\Tracing\OfferBoxUpdateService_RASAPI32]    
[HKLM\Software\Microsoft\Tracing\OfferBoxUpdateService_RASMANCS]    
[HKLM\Software\Classes\CLSID\{22222222-2222-2222-2222-220122992262}]     
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110111991162}]    
C:\Users\renaud\AppData\Local\Software   
C:\Users\renaud\AppData\Local\Temp\uninst1.exe   
EMPTYTEMP


Lance ZHPFIX (clic droit -> admin)
Clic GO, accepte le nettoyage et le redémarrage, poste le rapport qui s'ouvre

A+

Utilisateur anonyme · Answer

Re;

Pour pc speed maximizer, il ne restait que le dossier, il n'y avait rien dedans, du coup j'ai enlever manuellement le dossier ( l'option dans ajout/suppression de windows ne fonctionnait pas; ça ne l'a enlever que de la liste du menu ajout/suppresion).

Pour les DNS en amérique, je ne pense pas que ce soit normal, la personne est d'origine cubaine; mais n'est jamais retournée dans son pays depuis au moins 10 ans et son FAI est bouygues, donc je pense qu'il faut les supprimer (via un ipconfig /flushdns je suppose).

Pour zhpfix, je l'ai lancer en tant qu'admin, mais ça n'a pas redémarrer le pc.
Voilà le rapport: https://www.cjoint.com/c/CEklR0Fg7Jn

Edit: en regardant les dns du rapport de zhpdiag; les lignes 017; je ne vois pas de dns américain, je vois l'ip de la bbox (192.168.1.254) et celle de mon routeur (192.169.73.55). J'ai tout de même fait un ipconfig /flushdns (via invite de commande en admin); ça ne mange pas de pain :)

juju666 · Answer

Ah bon c'est chez toi ? Tu passes par un proxy alors ? 
Parce que : http://en.utrace.de/?query=192.169.73.55 / http://whois.domaintools.com/192.169.73.55

le flushdns ne fait que vider la résolution DNS, ça vire pas les proxy mais en effet ça fera pas de tord ;)

Utilisateur anonyme · Answer

Non je ne passe pas par un proxy; c'est bien moi qui ai fixé l'ip de mon routeur comme ça depuis pas mal de temps.
Quand je tape 192.169.73.55 je tombe bien sur la config de mon routeur et si je ping l'adresse, j'ai bien une réponse en moins de 1ms.

C:\windows\system32>ping 192.169.73.55

Envoi d'une requête 'Ping'  192.169.73.55 avec 32 octets de données :
Réponse de 192.169.73.55 : octets=32 temps<1ms TTL=64
Réponse de 192.169.73.55 : octets=32 temps<1ms TTL=64
Réponse de 192.169.73.55 : octets=32 temps<1ms TTL=64
Réponse de 192.169.73.55 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.169.73.55:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Je te met un traceroute sur Google:

C:\windows\system32>tracert www.google.com

Détermination de l'itinéraire vers www.google.com [173.194.67.105]
avec un maximum de 30 sauts :

  1    <1 ms    <1 ms    <1 ms  client-1921697355.main.lnbgtn.monsterbroadband.c
om [192.169.73.55]
  2    19 ms    19 ms    19 ms  80.10.120.131
  3    18 ms    19 ms    19 ms  10.125.21.202
  4    21 ms    21 ms    20 ms  ae49-0.nilyo102.Lyon.francetelecom.net [193.252.
101.134]
  5    27 ms    26 ms    27 ms  81.253.184.46
  6    40 ms    38 ms    36 ms  google-1.GW.opentransit.net [193.251.254.86]
  7    28 ms    28 ms    27 ms  72.14.238.234
  8    51 ms    28 ms    27 ms  72.14.235.175
  9    32 ms    32 ms    32 ms  216.239.43.233
 10    33 ms    32 ms    32 ms  209.85.250.165
 11     *        *        *     Délai d'attente de la demande dépassé.
 12    33 ms    32 ms    32 ms  wi-in-f105.1e100.net [173.194.67.105]

La première ligne parait en effet bizarre ( client-1921697355.main.lnbgtn.monsterbroadband.c
om ) mais vu le temps de réponse et le reste du traceroute...
J'ai repassé malgré tout mon routeur en 192.168.X.X

juju666 · Answer

Il n'y avait plus que ça qui me choquait, ça et l'absence d'un antivirus résident.

Utilisateur anonyme · Answer

Pas d'antivirus résident? Ce point je ne comprend pas, avast ne signal rien. J'ai regardé tous les agents, ils sont tous actifs et en laissant la souris sur l'icone d'avast, l'ordinateur signal que je suis protégé.  

J'ai essayé de télécharger eicar à l'instant et avast me bloque la page (via le site https://antivirus-france.com/ ); j'ai recopié la ligne d'eicar  
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
et renommé le fichier en azerty.bat et avast a supprimé le fichier; donc tout semble normal.  

L'état de l'icone dans la barre de tache n'a pas été modifié; en tout cas jamais avast n'a signalé de problème; ni Windows via le centre de sécurité d'ailleurs.  

Le propriétaire du pc m'a signalé que la version free d'avast refusait de s'installer et a du coup pris la version payante; à part ça lui ne m'a rien dit et je n'ai rien remarqué d'anormal sur le résident.  

Sinon merci pour le "proxy"; ça évite les fuites de données sur le web si le routeur à une faille de sécurité. Je n'avais jamais fait attention que c'était une adresse ip publique; étant donné que mon routeur acceptait cette adresse et pas d'autres (j'avais testé aussi 192.170.X.X, mais il ne l'acceptait pas).

Edit: correction de quelques fautes (mais il en reste surement)

juju666 · Answer

Autant pour moi, j'ai du confondre avec le rapport d'un autre topik :x

Bref le petit speech final : 

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

Boxore et toolbar

7 réponses

Discussions similaires