Pricora... encore et toujours... HELP !!! Résolu/Fermé

Question

Bonjour,

C'est la 1ère fois que je poste car j'ai tjs trouvé les solutions à mes pb sur les posts du forum mais là... je vois que je ne suis pas la seule à galérer avec cette cochonnerie de Pricora...
Je ne sais pas comment cette m**** a atterri dans mon pc du boulot mais depuis mon retour de congés, à chaque démarrage de Firefox il est là... je le désinstalle dans les extensions (car bien sur il n'apparait pas ds les programmes) je redémarre, nickel, tout va bien jusqu'au redémarrage suivant où comme par magie, il réapparait...
J'ai bien tenté de suivre les indications des posts précédents mais une fois Adwcleaner effectué, Pricora est bien désinstallé, youpi !... jusqu'au nouveau redémarrage où il revient encore... je ne sais plus quoi faire...

Si une âme charitable voulait bien m'aider... merci d'avance !

juju666 · Answer

Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Clique ici pour voir la configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%LocalAppData%\*
%LocalAppData%\*. 
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig 
netsvcs 
BASESERVICES
safebootminimal
safebootnetwork 
CREATERESTOREPOINT
SAVEMBR:0
HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\Google Chrome\shell\open\command
dir "%Homedrive%\*" /S /A:L /C 

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

lili218 · Answer

Merci de bien vouloir m'aider, j'ai fait ce que tu as dis, voici les fichiers :

https://forums-fec.be/upload/www/?a=d&i=3543898427
https://forums-fec.be/upload/www/?a=d&i=2510027547

juju666 · Answer

Désinstalle Spybot, il va nous gêner et puis il sert à rien.

Tu as également une infection qui se propage via les supports amovibles.

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

Si lien ne fonctionne pas : Miroir #1 ou Miroir #2

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe.  

&#9654 Cliquez sur suppression
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo 

~~

Ensuite :

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:OTL
PRC - [2009/01/26 16:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SBSDWSCService) 
IE - HKLM\..\SearchScopes\{C33062A5-F325-4B06-8859-56643513488D}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
IE - HKU\S-1-5-21-3957189-3877405034-2204042413-1000\..\SearchScopes\{C33062A5-F325-4B06-8859-56643513488D}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O20 - AppInit_DLLs: (c:\progra~2\browse~1\261519~1.190\{c16c1~1\browse~1.dll) -  File not found
[2013/10/01 11:10:24 | 000,000,000 | ---D | C] -- C:\Windows\System32\{userappdata}      
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]      
[2013/10/01 11:31:00 | 000,001,822 | ---- | M] () -- C:\Windows	asks\Pricora 1.4-firefoxinstaller.job      
[2013/10/01 11:27:02 | 000,001,290 | ---- | M] () -- C:\Windows	asks\Pricora 1.4-updater.job      
[2013/10/01 11:26:00 | 000,001,202 | ---- | M] () -- C:\Windows	asks\Pricora 1.4-codedownloader.job      
[2013/10/01 11:26:00 | 000,001,100 | ---- | M] () -- C:\Windows	asks\Pricora 1.4-enabler.job    
[2012/02/03 19:50:18 | 000,000,000 | ---D | M] -- C:\ProgramData\Spybot - Search & Destroy 
[2010/04/27 09:27:21 | 000,000,000 | ---D | M] -- C:\Program Files\Spybot - Search & Destroy
[2013/08/07 17:26:52 | 000,004,232 | ---- | M] () -- C:\Windows\system32\Tasks\Pricora 1.4-codedownloader      
[2013/08/07 17:26:57 | 000,004,130 | ---- | M] () -- C:\Windows\system32\Tasks\Pricora 1.4-enabler      
[2013/08/07 17:26:36 | 000,004,852 | ---- | M] () -- C:\Windows\system32\Tasks\Pricora 1.4-firefoxinstaller      
[2013/08/07 17:27:01 | 000,004,320 | ---- | M] () -- C:\Windows\system32\Tasks\Pricora 1.4-updater      
@Alternate Data Stream - 72 bytes -> C:\Windows:75C3248A6148F654      
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:D1B5B4F1      
@Alternate Data Stream - 115 bytes -> C:\ProgramData\TEMP:DFC5A2B2      
@Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:FA5F15C4      


:Reg  
[-HKEY_CURRENT_USER\Software\fcn] 
[-HKEY_LOCAL_MACHINE\Software\Pricora 1.4]

:Commands
[EMPTYTEMP]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.
 
~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Sur le Dossier _OTL : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur https://forums-fec.be/upload
Dis moi quand c'est fait.

A+

lili218 · Answer

Bon j'ai un petit soucis... j'ai pas pu faire USBfix car à 97% il me met un message d'erreur ("erreur des dossiers compressés - impossible de finir l'opération - accès refusé")

Voilà le rapport OTL
https://forums-fec.be/upload/www/?a=d&i=0546139328

Idem pour envoyer le dossier compressé... impossible, même message d'erreur...

Et voilà pour ZHPDDiag
https://forums-fec.be/upload/www/?a=d&i=8814529714

juju666 · Answer

Ok.

Essaie de faire les 2 manip foirées en mode sans échec.

A+

lili218 · Answer

rien à faire... tjs le mm message d'erreur...

juju666 · Answer

C'est étrange.

Essaie de compresser avec 7-zip pour voir : https://sourceforge.net/projects/sevenzip/files/7-Zip/9.20/7z920.exe/download?use_mirror=vorboss

lili218 · Answer

meme tarif... y a pas moyen... meme message d'erreur (en anglais)
ça commence à me taper sérieusement sur le système !!

juju666 · Answer

tu es bien loggué sur la session administrateur ?

lili218 · Answer

Alors !!!!!!!!!!! après maints essais...
J'ai réussi à zipper le sous-dossier OTL (je suppose que ça peut marcher, dans le sens où j'ai qd mm toutes les parties contenues)

https://forums-fec.be/upload/www/?a=d&i=8231459740

Et oui je suis bien sur la session administrateur (l'ordi n'en a pas d'autre)

Je m'acharne avec USBfix, ça finira peut-être par marcher...

juju666 · Answer

Au pire, on fera autrement.

lili218 · Answer

bon... après réinstallation d'USBFix, comme par miracle :
https://forums-fec.be/upload/www/?a=d&i=0235274113

juju666 · Answer

Comme quoi !

Relance OTL, clique sur Analyse rapide (et touche à rien d'autre)

Envoie le rapport, poste le lien

lili218 · Answer

et voilà !
https://forums-fec.be/upload/www/?a=d&i=4444108056

juju666 · Answer

Rho y'a 1h t'as installé des autres m€rdes :(

Refais une correction OTL avec ça :

 :OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=2E3A001D92B0F55E&affID=119357&tt=011013_ctrl&tsp=5022
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2E3A001D92B0F55E&affID=119357&tt=011013_ctrl&tsp=5022
[2013/10/01 15:38:46 | 000,000,000 | ---D | M] (Delta Toolbar) -- C:\Users\des palmiers\AppData\Roaming\mozilla\Firefox\Profiles\us2pzg1n.default\extensions\ffxtlbr@delta.com
O2 - BHO: (Plus-HD-3.5) - {11111111-1111-1111-1111-110311711180} - C:\Program Files\Plus-HD-3.5\Plus-HD-3.5-bho.dll (Plus HD)
O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.24.6\bh\delta.dll  
O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.24.6\deltaTlbr.dll  
[2013/10/01 15:37:55 | 000,000,000 | ---D | C] -- C:\Users\des palmiers\AppData\Roaming\BabSolution  
[2013/10/01 15:37:41 | 000,000,000 | ---D | C] -- C:\Program Files\Plus-HD-3.5      
[2013/10/01 15:37:15 | 000,000,000 | ---D | C] -- C:\Users\des palmiers\AppData\Roaming\Babylon     (Toolbar.Babylon)  
[2013/10/01 15:37:15 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
[2013/10/01 15:38:49 | 000,001,292 | ---- | M] () -- C:\Windows	asks\Plus-HD-3.5-updater.job      
[2013/10/01 15:38:43 | 000,001,096 | ---- | M] () -- C:\Windows	asks\Plus-HD-3.5-enabler.job      
[2013/10/01 15:38:24 | 000,001,196 | ---- | M] () -- C:\Windows	asks\Plus-HD-3.5-codedownloader.job      
[2013/10/01 15:37:51 | 000,001,816 | ---- | M] () -- C:\Windows	asks\Plus-HD-3.5-firefoxinstaller.job      
[2013/10/01 15:37:56 | 000,000,000 | ---D | M] -- C:\Users\des palmiers\AppData\Roaming\BabSolution    
[2013/10/01 15:37:15 | 000,000,000 | ---D | M] -- C:\Users\des palmiers\AppData\Roaming\Babylon   


 Puis refais une suppression avec adwcleaner

lili218 · Answer

https://forums-fec.be/upload/www/?a=d&i=7591887939
Voilà ma correction, je lance adwcleaner

lili218 · Answer

https://forums-fec.be/upload/www/?a=d&i=4463640080
et voilà avec adwcleaner

juju666 · Answer

Bien on continue : 

&#9654 Télécharge ici : Junkware Removal Tool

 !!! Ne clique pas sur Download !!! , attends simplement que la fenetre de telechargement arrive pour confirmation

&#9654 Enregistre ce fichier sur le bureau.

&#9654 Ferme tout tes navigateurs 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.
Sous Vista/7/8, clic droit et Exécuter en temps qu'administrateur.
    
&#9654 NB: Le bureau disparaitra un instant, c'est normal.
    
&#9654 Laisse le programme travailler ne touche plus à rien
    
&#9654 Poste le rapport généré à la fin de l'analyse. 

Tuto : http://hackinginterdit.blogspot.fr/2013/02/junkware-removal-tool.html

lili218 · Answer

https://forums-fec.be/upload/www/?a=d&i=4533887503
voilà

juju666 · Answer

Parfait :) encore des soucis ?

lili218 · Answer

Non non plus de soucis, j'attendais ta réponse pour savoir si tout était bon.

Vraiment un grand merci, ça fait qq tps déjà que j'essaie de me débarrasser de cette cochonnerie, ça me prenait la tête copieux !

Encore merci !

juju666 · Answer

Ahah :p

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

~~

Attention à ce que tu installes à l'avenir :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

lili218 · Answer

Bien merci, j'ai déjà mis en résolu ;)

Je finis les opérations que tu m'as dites et oui, je savais pour les sites pourris avec toolbars en option... mais je suis pas la seule à utiliser le PC ds la journée...
En l'occurence, Pricora est apparu pdt mes congés et parait-il que ds le mm tps, l'ordi a été vérolé... il a fallu faire venir un gars qui s'y connaissait bien car y avait gros bug (pas de redémarrage, etc..)

Par contre je savais pas pour les logiciels pas à jour... j'y ferais plus attention à l'avenir.

Merci bien de ton aide et de tes conseils, je passerais le mot aux autres utilisateurs, histoire que je me retrouve pas à squatter le forum (et m'arracher les cheveux) pdt encore 3h voir qu'on plante l'ordi pour de bon un de ces 4 :(

juju666 · Answer

héhé :)

pas de soucis, prudence et bon surf !

pierre_lb · Answer

Même problème pour moi, si qqun pouvait m'aider..
Merci d'avance.