Somoto.exe et java.Lacompal Résolu/Fermé

Question

Bonjour, 

Je requiert encore une fois votre aide svp.

J'utilise Windows XP sp 3

Scan d'avira a trouvé APPL/Somoto.exe et Exp/JAVA/.Lacompal

déplacés en quarantaine.

Toutefois j'ai un problème de redirection automatique dans Firefox, qui semble être un des effets causés par Somoto (exemple : en allant sur un certain site, je suis automatiquement redirigée sur Facebook bien que ça n'ait absolument aucun rapport).  Aussi, l'ordinateur me semble ralenti.

Malewarebytes n'a rien découvert.

Rapport ADWCLEANER 
(par la même occasion, je remarque plusieurs entrées "grusskartencenter.com")

# AdwCleaner v2.303 - Rapport créé le 20/06/2013 à 14:35:15
# Mis à jour le 08/06/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Maman - oui
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Maman\Bureau\VIRUS\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Documents and Settings\All Users\Application Data\Ask
Fichier Présent : C:\Documents and Settings\Maman\Application Data\Mozilla\Firefox\Profiles\f1m49490.default\searchplugins\Askcom.xml

***** [Registre] *****

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Clé Présente : HKCU\Software\Softonic
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v21.0 (fr)

Fichier : C:\Documents and Settings\Kassandra\Application Data\Mozilla\Firefox\Profiles\q1aw1wsy.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Documents and Settings\Maman\Application Data\Mozilla\Firefox\Profiles\f1m49490.default\prefs.js

Présente : user_pref("browser.search.order.1", "Ask.com");

Fichier : C:\Documents and Settings\Kassandra\Application Data\Mozilla\Firefox\Profiles\q1aw1wsy.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Documents and Settings\Christine\Application Data\Mozilla\Firefox\Profiles\xc5bk7ag.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v27.0.1453.116

Fichier : C:\Documents and Settings\Kassandra\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Documents and Settings\Maman\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Documents and Settings\Kassandra\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Documents and Settings\Christine\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3178 octets] - [20/06/2013 14:13:32]
AdwCleaner[R2].txt - [3012 octets] - [20/06/2013 14:35:15]

########## EOF - C:\AdwCleaner[R2].txt - [3072 octets] ##########

juju666 · Accepted Answer

Salut fais la suppression avec adwcleaner
puis vide le cache java : https://www.java.com/fr/download/help/plugin_cache.html

dcelyne · Answer

Merci pour l'aide.

J'ai effectué la suppression en passant par le mode sans échec puisque ça buguait en mode normal.

Je n'ai pas réussi à vider le cache java parce que l'accès semble être disparu (panneau de confiburation, affichage classique)

juju666 · Answer

Hello

&#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.

&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique donc sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

dcelyne · Answer

Bonjour,
Comme j'ai mentionné dans mon premier message, Malewarebytes n'a rien trouvé.  Est-ce que tu veux que je le refasse quand même pour te donner le rapport d'analyse ?

juju666 · Answer

Oups j'avais loupé ce passage :-)
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Clique ici pour voir la configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%LocalAppData%\*
%LocalAppData%\*. 
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig 
netsvcs 
BASESERVICES
safebootminimal
safebootnetwork 
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C 

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur CJOINT et donne les liens obtenus en échange

dcelyne · Answer

Merci,

Et c'est normal d'en avoir manqué un bout avec tous les listings présents à l'écran...

Fichier OTL : https://www.cjoint.com/?0FvpHM1tfOs 

Fichier extras : https://www.cjoint.com/?0FvpJg9dth8

Juste mentionner que je n'avais pas l'option à cocher "64 bits" - je crois que c'est normal mais je préfère le dire au cas

juju666 · Answer

Ouip car ton système d'exploitation est en 32 bits.

Je lis les rapports, et je reviens.

juju666 · Answer

Le PC est sain néanmoins :

-> Désinstalle Spybot il sert à rien puis redémarre le PC et continue

-> Relance OTL, sous personnalisation colle ceci : 

:Commands
[EMPTYTEMP]
[RESETHOSTS]

Click sur Correction, le PC va à nouveau redémarrer, poste le rapport qui s'ouvrira de lui même.

dcelyne · Answer

Merci pour ta patience juju666 c'est vraiment apprécié.

Tu es bien certain que spybot ne sert à rien ?
Le résident de spybot contient en ce moment 201949 adresses en liste noire dans le host, ça n'empêche pas des saletés ?
Questions d'une néophyte je sais.  Je ne met pas ta parole en doute mais je cherche à comprendre.

juju666 · Answer

Je t'invite à consulter ce test : https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/

Quand au fichier hosts il ralenti ta navigation pour rien, les 3/4 des adresses qu'il y ajoute sont fermées depuis des lustres :p

dcelyne · Answer

D'accord, il est vrai que ça fait près d'une dizaine d'années que je l'utilise il me semble (ou alors le temps m'a semblé long) et les choses ont changé.

Bon, donc on tourne la page pour le spybot, ça va vraiment faire bizarre au début lol

Je remplace par Malewarebyte, combofixe, ou rien ?

En attendant ta réponse je vais effectuer les étapes que tu m'as proposé - et aussi vérifier si le Firefox me joue encore des tours

juju666 · Answer

Par Malwarebytes.

ComboFix porte "fix" dans son nom, ça veut dire qu'il ne doit être utilisé qu'en cas d'utilité (et même d'extrême utilité pour celui-ci ....-

Je t'envoie déjà le petit texte de fin, si jamais firefox te joue encore des tours on regardera plus loin.

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

~~

Attention à ce que tu installes à l'avenir :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

dcelyne · Answer

Fichier OTL : https://www.cjoint.com/?0Fvrgxbw0mF
Fichier extra : https://www.cjoint.com/?3FvrhsdttzP 

Je vais lire ton dernier message

juju666 · Answer

Gné ? 

J'avais demandé la correction sous OTL pas une nouvelle analyse :)

dcelyne · Answer

oups !

https://www.cjoint.com/?3FvrKAnSx8G 

C'est mieux ? lol

juju666 · Answer

Oui mais il n'a pas pu remplacer le fichier hosts.

Essaie avec RstHosts  (faut cliquer sur Restaurer, puis tu ferme le logiciel, le relance, et clique sur Créer un rapport, que tu poste ici)
 
 .::. Contributeur Sécurité .::.

dcelyne · Answer

Je dois aller chercher ma fille à l'école je te reviens dans environ 1h pour le rsthosts

- je viens de tester firefox et il me semble ok

merci

juju666 · Answer

Ok pas de soucis :)

dcelyne · Answer

Voici le fichier demandé :

https://www.cjoint.com/?3FvsXX3pwqW 

j'ai dû désactiver l'antivirus et fermer winpatrol

juju666 · Answer

Ah oui probable :)

c'est ok, tu peux passer au final : https://forums.commentcamarche.net/forum/affich-28069423-somoto-exe-et-java-lacompal#14

Bon appétit ;)

dcelyne · Answer

Merci beaucoup pour toute l'aide apportée juju666 !