Infection Framefox extensionRésolu/Fermé

Question

Bonjour, 

Comme un idiot, j'ai téléchargé sans me soucier de la source : résultat, je suis infecté. Voici le rapport ADW. 

Merci par avance de m'aider ! Bonne journée. 

--------------------

# AdwCleaner v2.303 - Rapport créé le 10/06/2013 à 12:46:00
# Mis à jour le 08/06/2013 par Xplode
# Système d'exploitation : Windows (TM) Vista Home Premium Service Pack 2 (64 bits)
# Nom d'utilisateur : Nicolas - PC-DE-NICOLAS
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Nicolas\Downloads\AdwCleaner.exe
# Option [Recherche]


***** [Services] *****

Présent : dqupdate
Présent : dqupdatem

***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Program Files (x86)\FrameFox
Dossier Présent : C:\Program Files (x86)\Mozilla Firefox\extensions\{1FD91A9C-410C-4090-BBCC-55D3450EF433}
Dossier Présent : C:\ProgramData\Babylon
Dossier Présent : C:\ProgramData\boost_interprocess
Dossier Présent : C:\Users\Nicolas\AppData\Local\Duuqu
Dossier Présent : C:\Users\Nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiofjbkodmcfkhmljgdmjcildliojoli
Dossier Présent : C:\Users\Nicolas\AppData\Roaming\Babylon
Dossier Présent : C:\Users\Nicolas\AppData\Roaming\Mozilla\Firefox\Profiles\qllru2e8.default\extensions\{1fd91a9c-410c-4090-bbcc-55d3450ef433}
Fichier Présent : C:\Windows\Tasks\DuuquUpdateTaskMachineCore.job
Fichier Présent : C:\Windows\Tasks\DuuquUpdateTaskMachineUA.job

***** [Registre] *****

Clé Présente : HKCU\Software\DataMngr
Clé Présente : HKCU\Software\DataMngr_Toolbar
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Présente : HKCU\Software\5253dfd1e035bf43
Clé Présente : HKLM\Software\Babylon
Clé Présente : HKLM\Software\Boxore
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{AC662AF2-4601-4A68-84DF-A3FE83F1A5F9}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{D97A8234-F2A2-4AD4-91D5-FECDB2C553AF}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\BrowserConnection.dll
Clé Présente : HKLM\SOFTWARE\Classes\AppID\DNSBHO.dll
Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Présente : HKLM\Software\DataMngr
Clé Présente : HKLM\SOFTWARE\MozillaPlugins\@www.duuqu.com/omaha/tools//Duuqu Update;version=3
Clé Présente : HKLM\SOFTWARE\MozillaPlugins\@www.duuqu.com/omaha/tools//Duuqu Update;version=9
Clé Présente : HKLM\SOFTWARE\Wow6432Node\5253dfd1e035bf43
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [FrameFox Extensions]
Valeur Présente : HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist [1]
Valeur Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16483

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v5.0.1 (fr)

Fichier : C:\Users\Nicolas\AppData\Roaming\Mozilla\Firefox\Profiles\qllru2e8.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v26.0.1410.43

Fichier : C:\Users\Nicolas\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3713 octets] - [10/06/2013 12:46:00]

########## EOF - C:\AdwCleaner[R1].txt - [3773 octets] ##########



---------------------------------------------------------------------------------


Configuration: Windows Vista / Chrome 26.0.1410.43

zack283 · Accepted Answer

Non, plus de lag. C'est très sympa à toi de m'avoir aidé. Bonne soirée !

H.A.W.X · Answer

Bonjour, 



TOUT LES OUTILS DOIVENT ETRE LANCES DEPUIS LE BUREAU !!! 
TOUT LES RAPPORTS SONT A METTRE SUR https://www.cjoint.com/ 



Fais ceci dans l'ordre : 
~ http://sosvirus.org/viewtopic.php?f=281&t=546 

Enfin : 
~ http://www.sosvirus.org/post4583.html#p4583 

J'attends donc 2 rapports : 
¤ Adwcleaner[S1].txt 
¤ ZHPDiag.txt

zack283 · Answer

Bonjour HAWX et merci de prendre un peu de ton temps pour m'aider. :)

- Voici le rapport ADW : https://www.cjoint.com/c/CFknEbQPlPK
- Et le rapport ZHP : http://cjoint.com/?CFknFaaily4

A bientôt.

H.A.W.X · Answer

Bonjour,

Ok bon effectivement tu sauras qu'il ne faut pas cliquer n'importe ou ;)

NB : TOUT LES OUTILS DOIVENT ETRE LANCES DEPUIS LE BUREAU !!! 
TOUT LES RAPPORTS SONT A METTRE SUR https://www.cjoint.com/ 


Fais ceci dans l'ordre :
~ http://sosvirus.org/viewtopic.php?f=281&t=604

Ensuite :
~ http://sosvirus.org/viewtopic.php?f=281&t=615

Puis un peu de ménage :
~ http://sosvirus.org/viewtopic.php?f=281&t=611

Enfin :
~ http://www.sosvirus.org/post4583.html#p4583

J'attends donc 4 rapports :
¤ RKreport[X]¤H¤.txt
¤ JRT.txt
¤ SFT.txt
¤ ZHPDiag.txt

zack283 · Answer

-Le rapport RK : https://www.cjoint.com/?CFkpgtx5a7z
- Le rapport JRT : https://www.cjoint.com/c/CFkpgUNsLiQ
- Rapport STF : https://www.cjoint.com/c/CFkpjw0oA57
- Rapport ZHP : https://www.cjoint.com/?CFkpxEiB7pc

H.A.W.X · Answer

Bonjour,

Je te conseille de faire attention avec le P2P.

NB : TOUT LES OUTILS DOIVENT ETRE LANCES DEPUIS LE BUREAU !!! 
TOUT LES RAPPORTS SONT A METTRE SUR https://www.cjoint.com/ 

> Copie les lignes en gras ci dessous :

[MD5.B5ADEB3FCFFAE8094611DD04D09D2450] - (Duuqu Group - Extensions FrameFox..) - C: \ Program Files (x86) \ FrameFox \ Extensions \ InternetExplorer \ framefox.exe [224240] [PID.2912]
O42 - Logiciel: Extensions FrameFox 1.0.2.0 - (.. Équipe de QwertyBox) [HKLM] [64Bits] - {A1D62CC4-1453-4245-9C6E-E9E8EF0B620C}
O43 - CFD: 10/06/2013 - 15:01:31 - [0214] ---- DC: \ Program Files (x86) \ FrameFox 
O90 - PUC: 4CC26D1A35415424C9E69E8EFEB026C0. (Extensions FrameFox 1.0.2.0..) - C: \ Windows \ Installer \ {A1D62CC4-1453-4245-9C6E-E9E8EF0B620C} \ FrameFox.ico
[HKLM \ Software \ Classes \ Interface \ {3f607e46-0d3c-4442-b1de-de7fa4768f5c}] 
HKLM \ Software \ Wow6432Node \ Classes \ Interface \ {3f607e46-0d3c-4442-b1de-de7fa4768f5c}]
[HKLM \ Software \ Classes \ TypeLib \ {93e3d79c-0786-48ff-9329-93bc9f6dc2b3}] 
[HKLM \ Software \ Classes \ Interface \ {fe0273d1-99df-4ac0-87d5-1371c6271785}] 
[HKLM \ Software \ Wow6432Node \ Classes \ Interface \ {fe0273d1-99df-4ac0-87d5-1371c6271785}] 
[HKLM \ Software \ Classes \ AppID \ {AC662AF2-4601-4A68-84DF-A3FE83F1A5F9}]
[HKLM \ Software \ Wow6432Node \ Classes \ AppID \ {AC662AF2-4601-4A68-84DF-A3FE83F1A5F9}] 
[HKLM \ Software \ Classes \ AppID \ {D97A8234-F2A2-4ad4-91D5-FECDB2C553AF}]
[HKLM \ Software \ Wow6432Node \ Classes \ AppID \ {D97A8234-F2A2-4ad4-91D5-FECDB2C553AF}]
[HKLM \ Software \ Wow6432Node \ Google \ Chrome \ Extensions \ paoponfhfdfnjgddpnpjkambkcgdaaib] 
[HKLM \ Software \ Boxore] 
[HKLM \ Software \ Wow6432Node \ Boxore]
[HKLM \ Software \ Wow6432Node \ Duuqu]
[HKCU \ Software \ DataMngr] 
[HKLM \ Software \ Wow6432Node \ DataMngr] 
C: \ Program Files (x86) \ FrameFox 
[HKCU \ Software \ DataMngr_Toolbar]
[HKCU \ Software \ Duuqu]
O4 - GS \ Desktop: HijackThis.lnk. (...) - C: \ Program Files (x86) \ Trend Micro \ HijackThis \ HijackThis.exe (. Pas le fichier.) 
O39 - APT: Tâche planifiées que Automatique - C: \ Windows \ Tasks \ DuuquUpdateTaskMachineCore.job [886]
O39 - APT: Tâche planifiées que Automatique - C: \ Windows \ Tasks \ DuuquUpdateTaskMachineUA.job [890]
[MD5.00000000000000000000000000000000] [APT] [DuuquUpdateTaskMachineCore] (...) - C: (.. Pas fichier) \ Program Files (x86) \ Duuqu \ Update \ DuuquUpdate.exe [0]
[MD5.00000000000000000000000000000000] [APT] [DuuquUpdateTaskMachineUA] (...) - C: (.. Pas fichier) \ Program Files (x86) \ Duuqu \ Update \ DuuquUpdate.exe [0] 
[MD5.8F0DE4FEF8201E306F9938B0905AC96A] [APT] [GoogleUpdateTaskMachineCore] (.. Google Inc.) - C: \ Program Files (x86) \ Google \ Update \ GoogleUpdate.exe [135664]
[MD5.ED612C3BF49DDE8E731CFD814FF6769A] [SPRF] [27/06/2012] (...) - C: \ Users \ Nicolas \ AppData \ Local \ d3d9caps.dat [680] 
[MD5.72A51C6832040CDDFD40D747154A0129] [SPRF] [04/08/2011] (...) - C: \ Users \ Nicolas \ AppData \ Local \ d3d9caps64.dat [732] 

FirewallRaz 
EmptyFlash
Emptytemp

Puis fais ceci :
~ http://sosvirus.org/viewtopic.php?f=281&t=579

Puis fais moi ça stp :
~ http://sosvirus.org/viewtopic.php?f=281&t=594

Après UNIQUEMENT si tu n'as plus ton soucis fais ça :
~ http://www.sosvirus.org/post3687.html#p3687

J'attends donc 2 ou 3 rapports :
¤ ZHPFixReport.txt
¤ mbam.txt
¤ DefFix.txt

zack283 · Answer

Rapport zhhpfix : https://www.cjoint.com/c/CFkr4DbdIlw
rapport MBAM : https://www.cjoint.com/c/CFkr6aSInsX
Rapport Delfix : https://www.cjoint.com/c/CFksarecyHV

Quelle est l'étape suivante ?

H.A.W.X · Answer

Bonsoir,

Visiblement il y a eu un soucis lors du script.
Je reviens vers toi tkt pas ;)

Ton soucis est il toujours présent cependant ?

zack283 · Answer

Disons qu'à part un léger lag (qui n'est plus présent), je ne voyais aucun souci particulier.

Aucun souci pour le temps que tu peux mettre à répondre, c'est déjà très gentil de m'aider.

H.A.W.X · Answer

Bonsoir,

Je me suis trompé, c'est ma faute !

Télécharge ZHPDiag ici:
~ https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Installe le.

> Copie les lignes en gras ce dessous :

[MD5.B5ADEB3FCFFAE8094611DD04D09D2450] - (Duuqu Group - Extensions FrameFox..) - C:\Program Files (x86)\FrameFox\Extensions\InternetExplorer\framefox.exe [224240] [PID.2912] 
O42 - Logiciel: Extensions FrameFox 1.0.2.0 - (.. Équipe de QwertyBox) [HKLM] [64Bits] - {A1D62CC4-1453-4245-9C6E-E9E8EF0B620C} 
O43 - CFD: 10/06/2013 - 15:01:31 - [0214] ---- DC:\Program Files (x86)\FrameFox 
O90 - PUC: 4CC26D1A35415424C9E69E8EFEB026C0. (Extensions FrameFox 1.0.2.0..) - C:\Windows\Installer\{A1D62CC4-1453-4245-9C6E-E9E8EF0B620C}\FrameFox.ico 
[HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}] 
HKLM\Software\Wow6432Node\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}] 
[HKLM\Software\Classes\TypeLib\{93e3d79c-0786-48ff-9329-93bc9f6dc2b3}] 
[HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}] 
[HKLM\Software\Wow6432Node\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}] 
[HKLM\Software\Classes\AppID\{AC662AF2-4601-4A68-84DF-A3FE83F1A5F9}] 
[HKLM\Software\Wow6432Node\Classes\AppID\{AC662AF2-4601-4A68-84DF-A3FE83F1A5F9}] 
[HKLM\Software\Classes\AppID\{D97A8234-F2A2-4ad4-91D5-FECDB2C553AF}] 
[HKLM\Software\Wow6432Node\Classes\AppID\{D97A8234-F2A2-4ad4-91D5-FECDB2C553AF}] 
[HKLM\Software\Wow6432Node\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib] 
[HKLM\Software\Boxore] 
[HKLM\Software\Wow6432Node\Boxore] 
[HKLM\Software\Wow6432Node\Duuqu] 
[HKCU\Software\DataMngr] 
[HKLM\Software\Wow6432Node\DataMngr] 
C:\Program Files (x86)\FrameFox 
[HKCU\Software\DataMngr_Toolbar] 
[HKCU\Software\Duuqu] 
O4 - GS\Desktop: HijackThis.lnk. (...) - C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe (. Pas le fichier.) 
O39 - APT: Tâche planifiées que Automatique - C:\Windows\Tasks\DuuquUpdateTaskMachineCore.job [886] 
O39 - APT: Tâche planifiées que Automatique - C:\Windows\Tasks\DuuquUpdateTaskMachineUA.job [890] 
[MD5.00000000000000000000000000000000] [APT] [DuuquUpdateTaskMachineCore] (...) - C: (.. Pas fichier)\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe [0] 
[MD5.00000000000000000000000000000000] [APT] [DuuquUpdateTaskMachineUA] (...) - C: (.. Pas fichier)\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe [0] 
[MD5.8F0DE4FEF8201E306F9938B0905AC96A] [APT]  
[MD5.ED612C3BF49DDE8E731CFD814FF6769A] [SPRF] [27/06/2012] (...) - C:\Users\Nicolas\AppData\Local\d3d9caps.dat [680] 
[MD5.72A51C6832040CDDFD40D747154A0129] [SPRF] [04/08/2011] (...) - C:\Users\Nicolas\AppData\Local\d3d9caps64.dat [732] 

FirewallRaz 
EmptyFlash 
Emptytemp


Puis fais ceci :
~ http://sosvirus.org/viewtopic.php?f=281&t=579 

Après UNIQUEMENT si tu n'as plus ton soucis fais ça : 
~ http://www.sosvirus.org/post3687.html#p3687 

J'attends donc 2 rapports : 
¤ ZHPFixReport.txt 
¤ DefFix.txt

zack283 · Answer

- Le rapport ZhpFIX : https://www.cjoint.com/c/CFkt33aDUJc
- Le rapport Delfix : https://www.cjoint.com/c/CFkt6sWzcXm

Y'a t'il autre chose à faire ?

H.A.W.X · Answer

Bonsoir,

Des choses à revoir de mon côté ...

Plus de soucis Framefox ? 

Si non bonne continuation :)

Amicalement

H.A.W.X · Answer

Avec plaisir !

Bonne soirée

Infection Framefox extension

13 réponses

Discussions similaires

Newsletters