Infection : quickshare et autres

Résolu/Fermé
77nini Messages postés 48 Date d'inscription vendredi 10 mai 2013 Statut Membre Dernière intervention 14 août 2013 - Modifié par 77nini le 11/08/2013 à 13:17
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 14 août 2013 à 18:55
Bonjour à tous,

Le pc de notre fils est infecté par quickshare (1er onglet dans firefox page démarrage pas de soucis mais si on ouvre un 2iéme onglet là, il s'ouvre sous "snapp.do").

Voici ci dessous les rapports malwarebyte et ZHPDiag :

malwarebyte : https://www.cjoint.com/?3HlnnC1b7Zr

ZHPDiag : https://www.cjoint.com/?3HlnkIaHWF2

Merci à vous de votre aide.


(à savoir, c'est un pc à titre médical (jeune dyspraxique) qui peut nous être repris à tout instant, on a donc pas fait de CD de réinstallation, il lui sert aussi à titre personnel pour l'instant)



3 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
11 août 2013 à 13:17
Salut,



Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


0
77nini Messages postés 48 Date d'inscription vendredi 10 mai 2013 Statut Membre Dernière intervention 14 août 2013 1
11 août 2013 à 14:56
Bonjour Malekal_morte,

Merci pour ton aide.

Voici le rapport adwcleaner demandé :

# AdwCleaner v2.306 - Rapport créé le 11/08/2013 à 14:36:55
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : YYYYYYYY - YYYYYYYY-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\YYYYYYYY\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v10.0.9200.16635

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v23.0 (fr)

Fichier : C:\Users\YYYYYYYY\AppData\Roaming\Mozilla\Firefox\Profiles\1ru36u54.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Users\YYYYYYY\AppData\Roaming\Mozilla\Firefox\Profiles\r0vigu5a.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v28.0.1500.95

Fichier : C:\Users\YYYYYYYY\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Users\YYYYYYY\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.7718] : homepage = "hxxp://fr.ask.com/?l=dis&o=2167&gct=hp",

*************************

AdwCleaner[S1].txt - [1283 octets] - [11/08/2013 14:36:55]

########## EOF - C:\AdwCleaner[S1].txt - [1343 octets] ##########
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
11 août 2013 à 14:58
Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.

Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
Donne la liste.

0
77nini Messages postés 48 Date d'inscription vendredi 10 mai 2013 Statut Membre Dernière intervention 14 août 2013 1
11 août 2013 à 15:10
extensions firefox :
adblock plus 2.3.2
Wot 20130515
en girsé : quickshare widget à été désinstaller = redémarrer maintenant / annulée

google chrome :
allin convecter 4.96.1.62190 case non coché + activer
word captureX Extension 1.1 case non coché + activer
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
11 août 2013 à 15:17
ca semble correct.
Plus de prb ?
0
77nini Messages postés 48 Date d'inscription vendredi 10 mai 2013 Statut Membre Dernière intervention 14 août 2013 1
Modifié par 77nini le 11/08/2013 à 15:46
Ok

Il n'y avait pas de problème apparent à part une ouverture d'onglet sur firefox qui s'ouvre sous snap.do dès la 2ième fenêtre qu'on ouvre, souci qui est toujours présent. A l'ouverture de firefox, la 1ére fenêtre elle, s'ouvre bien sous la page d'accueil (google).
(on a découvert ces 942 anomalies suite à un examen de contrôle malwarebytes (rapport qui a été fourni))

On va aller voir dans IE les extensions présentent, je te tiens informer sur ce message par un "edit"



EDIT :

Nom Samsung BHO Class
Éditeur (Non vérifié) Samsung Electronics Co., Ltd.
État Désactivé
Architecture 32 bits

Nom Samsung AnyWeb Print
Éditeur (Non vérifié) Samsung Electronics Co., Ltd.
État Désactivé
Architecture 32 bits

Nom Microsoft Silverlight
Éditeur Microsoft Corporation
État Activé
Architecture 32 bits et 64 bits

Nom Windows Live ID Sign-in Helper
Éditeur Microsoft Corporation
État Désactivé
Architecture 32 bits et 64 bits

Nom Rechercher
Éditeur Microsoft Corporation
État Désactivé
Architecture 32 bits

Nom Ajout Direct dans Windows Live Writer
Éditeur Non disponible
État Désactivé
Architecture 32 bits

Nom Samsung AnyWeb Print
Éditeur Non disponible
État Désactivé
Architecture 32 bits

Nom Recherche
Éditeur Non disponible
État Activé
Architecture 32 bits

Nom Discuter
Éditeur Non disponible
État Désactivé
Architecture 32 bits

Nom Java(tm) Plug-In SSV Helper
Éditeur Oracle America, Inc.
État Désactivé
Architecture 32 bits

Nom Java(tm) Plug-In 2 SSV Helper
Éditeur Oracle America, Inc.
État Désactivé
Architecture 32 bits

Nom Console Java (Sun)
Éditeur Oracle America, Inc.
État Désactivé
Architecture 32 bits


je passe ccleaner
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
11 août 2013 à 15:45
ok pour snap.do faut corriger la valeur browser.newtab.url dans about:config comme expliqué à la fin de ce lien : https://www.malekal.com/reparer-firefox/?t=36057&start=
0
77nini Messages postés 48 Date d'inscription vendredi 10 mai 2013 Statut Membre Dernière intervention 14 août 2013 1
11 août 2013 à 21:00
Pfff bon, impossible de le modifier, dès la 2ième fenêtre les pages affichaient toujours "snap.do". Une désinstallation/réinstallation de firefox a arrangé les choses en apparence.
Après un tour dans programmes/fonctionnalités, il a été retrouvé un fichier "quickshare" qui a été supprimé.

Voici un rapport ZHPDiag si cela peut aider : https://www.cjoint.com/?3HluVChYycb à savoir si tout est ok pour mettre en résolu.
(un scan malwarebyte va se faire durant le repas n'hésite pas si tu as besoin du rapport)

Merci à toi pour ton aide, bon appétit
0
77nini Messages postés 48 Date d'inscription vendredi 10 mai 2013 Statut Membre Dernière intervention 14 août 2013 1
Modifié par 77nini le 13/08/2013 à 15:51
Bonjour Malekal_,

On revient vers toi pour t'informer.
Dès le 2ième onglet cela ouvrait sur une page "snap.do" sur les 2 sessions (1 en administrateur, 1 en limitée) au lieu d'une page blanche après tes conseils, on a passé un coup d'adwcleaner, de ccleaner, un redémarrage pc et tout est revenu à la normale.

Le souci d'onglet est revenu après une réutilisation du pc notamment avec facebook et twitter (oui, c'est un d'jeune) ceci, seulement sur "la session limitée" et on a donc re-suivi tes conseils.
On a donc repasser adwcleaner, ccleaner, on a supprimé 3 ou 4 bricole pouvant porter le problème et, cette fois si on a passé pre_scan dont voici le rapport : https://www.cjoint.com/?3HnoYJml2X5 et depuis, on a plu ce souci d'onglet.
Dans l'immédiat, on test si l'origine vient de twitter, tout parait normal pour l'instant (il nous restera à tester facebook).
Pourrais tu nous dire ce qu'il te parait anormal dans le rapport pre_scan ?
(en information, si cela te parait anormal, GeoGebra 4.2 et Touche Pad sont des logiciels pour l'ergothérapie fourni par l'ergothérapeute).

Suite à de multiple adwcleaner en mode "recherche et suppression", ces 2 lignes apparaissent encore et toujours """
-\\ Google Chrome v [Impossible d'obtenir la version]
Fichier : C:\Users\YYYYYYY\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Users\XXXXXXX\AppData\Local\Google\Chrome\User Data\Default\Preferences
Présente [l.7635] : homepage = "hxxp://fr.ask.com/?l=dis&o=2167&gct=hp",
"""
hors que google chrome a été supprimé à la 1ère désinfection et on ne retrouve pas le chemin après "XXXXXXX" ou "YYYYYYYY".

On te tiens informer si le souci réapparait ou pas sous facebook (et pour ceux qui pourrait avoir le même souci).

Merci à toi.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 13/08/2013 à 15:30
Sert à rien Prescan, ça vire tout et n'importe quoi.
Faut pas l'utiliser.

J'ai pas compris ton histoire d'onglet.
Tu surfs et d'un coup snapdo s'ouvre ?
ou c'est quand tu ouvres un nouvel onglet ?
0