Infectée par un pup op

lalanguette Messages postés 25 Statut Membre -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Mon mari ayant été infecté par un virus, j'ai scanné mon pc et j'ai trouvé des pup optionnals(9).
pouvez vous me dire ce que je dois faire pour m'en débarrasser
Je suiis sur un pc acer avec vista
Merçi

48 réponses

Précédent
Réponse 21 / 48
lalanguette Messages postés 25 Statut Membre
 
par contre je ne l'ai pas nettoyé, faut-il le faire ?
0
Réponse 22 / 48
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
On ne fait nettoyer lorsque je le dit :-)

* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan
* Clique sur Proxy RAZ. Clique sur Rapport. Copier et coller le rapport dans ta réponse

Smart
0
Réponse 23 / 48
lalanguette Messages postés 25 Statut Membre
 
j'ai fait suppression et je t'envoie le rapport produit aprés.
Je vais arretre pour ce soir et je reviendrai demain matin
Merci beaucoup pour ton implication

RogueKiller V8.7.2 [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Nelly [Droits d'admin]
Mode : Recherche -- Date : 10/10/2013 20:47:07
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:8877;hxxps=127.0.0.1:8877) -> TROUVÉ
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyEnable (1) -> TROUVÉ
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Inline] EAT @explorer.exe (FwDoNothingOnObject) : FirewallAPI.dll -> HOOKED (Unknown @ 0x36570E66)
[Inline] EAT @explorer.exe (FwEnableMemTracing) : FirewallAPI.dll -> HOOKED (Unknown @ 0x36570E66)
[Inline] EAT @explorer.exe (FwSetMemLeakPolicy) : FirewallAPI.dll -> HOOKED (Unknown @ 0x36570E66)
[Inline] EAT @explorer.exe (??_7CWbemInstance@@6BCClassPartContainer@@@) : fastprox.dll -> HOOKED (Unknown @ 0xE7FB817B)
[Address] IAT @iexplore.exe (SHGetValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C27A99)
[Address] IAT @iexplore.exe (SHSetValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C288E1)
[Address] IAT @iexplore.exe (SHEnumValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C279E0)
[Address] IAT @iexplore.exe (PathCombineW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C266E2)
[Address] IAT @iexplore.exe (PathIsURLW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C26FF4)
[Address] IAT @iexplore.exe (SHRegGetValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C283E4)
[Address] IAT @iexplore.exe (SHGetValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C27A99)
[Address] IAT @iexplore.exe (SHSetValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C288E1)
[Address] IAT @iexplore.exe (SHEnumValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C279E0)
[Address] IAT @iexplore.exe (PathCombineW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C266E2)
[Address] IAT @iexplore.exe (PathIsURLW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C26FF4)
[Address] IAT @iexplore.exe (SHRegGetValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C283E4)
[Address] IAT @iexplore.exe (SHGetValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C27A99)
[Address] IAT @iexplore.exe (SHSetValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C288E1)
[Address] IAT @iexplore.exe (SHEnumValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C279E0)
[Address] IAT @iexplore.exe (PathCombineW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C266E2)
[Address] IAT @iexplore.exe (PathIsURLW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C26FF4)
[Address] IAT @iexplore.exe (SHRegGetValueW) : SHLWAPI.dll -> HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71C283E4)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
0
Réponse 24 / 48
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
OK J'attends le rapport après proxy RAZ

Smart
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 48
lalanguette Messages postés 25 Statut Membre
 
bonjour Smart91
J'ai fait ce que tu m'as demandé avec RogueKiller
Apres la recherche j'ai scanné à la demande et ensuite j'ai pris Proxy raz.
Il n'y a pas de rapport sauf 2 lignes
La 1° :sigle internet,Supprimé,Pum,proxy,hkey_current_user
la 2° : " Remplacé(0) " " "
Y a t'il autre chose à faire si cela est bon ou comment faut'il faire pour avoir un rapport si ce n'est pas ce que tu voulais
0
Réponse 26 / 48
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Tu dois avoir le rapport se trouve sur ton bureau

Smart
0
Réponse 27 / 48
lalanguette Messages postés 25 Statut Membre
 
Exact, j'attendais un rapport sur le site. Désolée Voici ce rapport

RogueKiller V8.7.2 [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Nelly [Droits d'admin]
Mode : Proxy RAZ -- Date : 10/11/2013 11:11:33
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[0]_PR_10112013_111133.txt >>
RKreport[0]_D_10102013_204507.txt;RKreport[0]_S_10102013_200206.txt;RKreport[0]_S_10102013_204707.txt
RKreport[0]_S_10112013_110515.txt;RKreport[0]_S_10112013_111120.txt
0
Réponse 28 / 48
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Bon refais un scan ZHPDiag toujours en suivant la procédure et poste le rapport via pjjoint

Smart
0
Réponse 29 / 48
lalanguette Messages postés 25 Statut Membre
 
Voici le rapport demandé
https://www.cjoint.com/?0JloClMiO5U
0
Réponse 30 / 48
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Le proxy est toujours présent

On va refaire un script ZHPFix et si cela ne va toujours pas, on passera un autre outil.

- Ferme toutes tes applications en cours
- Sélectionne et copie toutes les lignes en gras suivantes :

----------------------------------------------------------------------------------

Script ZHPFix
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8877;https=127.0.0.1:8877
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1


-------------------------------------------------------------------------------

- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 ou Windows 8 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..."Tu réponds Oui"
- Clique sur le bouton "IMPORTER"
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
NB:Dans certains cas, sous Windows 8, le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER"
- Clique sur le bouton « GO » pour le lancer le nettoyage
- A la demande, confirme le nettoyage des données en cliquant sur [OK]
- Patiente le temps du traitement.
- ZHPFix va te demander si tu souhaites vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)
- Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau
- Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt
- Copie/colle la totalité du rapport dans ta prochaine réponse

Et redémarre le PC

Smart
0
Réponse 31 / 48
lalanguette Messages postés 25 Statut Membre
 
voila le raport
Rapport de ZHPFix 2013.10.11.8 par Nicolas Coolman, Update du 11/10/2013
Fichier d'export Registre : C:\Users\Nelly\AppData\Roaming\ZHP\ZHPExportRegistry-11-10-2013-16-21-14.txt
Run by Nelly at 11/10/2013 16:21:12
High Elevated Privileges : OK
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

Corbeille vidée

========== Eléments de donnée du Registre ==========
SUPPRIMÉ: R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride
SUPPRIMÉ: R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer
SUPPRIMÉ: R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable


========== Récapitulatif ==========
3 : Eléments de donnée du Registre


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\Users\Nelly\AppData\Roaming\ZHP\ZHPFix[R1].txt - 10/10/2013 15:35:52 [3623]
C:\Users\Nelly\AppData\Roaming\ZHP\ZHPFix[R2].txt - 10/10/2013 17:23:24 [1190]
C:\Users\Nelly\AppData\Roaming\ZHP\ZHPFix[R3].txt - 11/10/2013 16:21:14 [918]
0
Réponse 32 / 48
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Refais un scan ZHPdiag et poste le rapport via pjjoint.
On va voir s'il est revenu

Smart
0
Réponse 33 / 48
lalanguette Messages postés 25 Statut Membre
 
voila le lien du nouveau rapport
https://www.cjoint.com/?0Jlr5WiF28C
0
Réponse 34 / 48
lalanguette Messages postés 25 Statut Membre
 
Bonjour Smart91
Tu ne m'as pas dit si le dernier examen était bon et si le nettoyage était terminé.
Quoi qu'il en soit, je tiens à te remercier grandement pour le travail formidable que tu as accompli sur mon pc. Je viens de controler avec malware et il n'y a plus rien. Encore un grand merci si je n'ai plus l'occasion de te lire.
Sincèrement
0
Réponse 35 / 48
lalanguette Messages postés 25 Statut Membre
 
bonjour Smart 91.
Ne t'inqiète pas pour Samedi, c'est Dimanche que je n'étais pas là et je sais très bien que tout le monde à une vie prévée à conserver.
Pour les rapports Otl, il y en a 2 mais ils me paraissent très gros aussi je le mets en pirces jointes
Le lien pour le 1°
https://www.cjoint.com/?0Jont6NwD2Y
Je prépare le sercond et je te l'envoi à la suite.l
0
Réponse 36 / 48
lalanguette Messages postés 25 Statut Membre
 
Et voici le 2°
https://www.cjoint.com/?0JonAUQgMON
0
Réponse 37 / 48
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
- Fais un double-clic sur l'icône d'OTL pour le lancer/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"/!\

- Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.
- Quand la fenêtre d'OTL apparaît, assure-toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.
- Copie et colle les lignes en gras ci-dessous dans la partie inférieure d'OTL "Personnalisation"

----------------------------------------------------------------------------
:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8877;https=127.0.0.1:8877

:Commands
[EMPTYTEMP]

-------------------------------------------------------------------------------

- Clique sur l'icône "Correction" (en haut à gauche) .
- Laisse le scan aller à son terme sans te servir du PC* A la fin du scan un rapport va s'ouvrir "OTL.Txt"
- Copie et colle le rapport dans ta réponse stp...
- Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
Réponse 38 / 48
lalanguette Messages postés 25 Statut Membre
 
Voilà le rapport, comme il n'est pas lourd je le mets en copié collé
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Nelly
->Temp folder emptied: 1346122 bytes
->Temporary Internet Files folder emptied: 123617595 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 9800984 bytes
->Google Chrome cache emptied: 254752025 bytes
->Flash cache emptied: 6286 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 553908777 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 491576 bytes

Total Files Cleaned = 900,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 10142013_210124

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\CLDigitalHome\CLMS_AGENT_LOG1.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\CLDigitalHome\PCMMediaServer.log scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0
Réponse 39 / 48
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Il n'est pas complet ce rapport, il manque le début

Smart
0
Réponse 40 / 48
lalanguette Messages postés 25 Statut Membre
 
Bonjour Smart91
J'ai refait le rapport, dis moi s'il est bon stp
All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Nelly
->Temp folder emptied: 82076 bytes
->Temporary Internet Files folder emptied: 11229827 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3473 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 324694 bytes

Total Files Cleaned = 11,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 10152013_081240

Files\Folders moved on Reboot...
C:\Users\Nelly\AppData\Local\Temp\Low\JavaDeployReg.log moved successfully.
File\Folder C:\Users\Nelly\AppData\Local\Temp\~DF1683.tmp not found!
File\Folder C:\Users\Nelly\AppData\Local\Temp\~DF169F.tmp not found!
File\Folder C:\Users\Nelly\AppData\Local\Temp\~DF16ED.tmp not found!
File\Folder C:\Users\Nelly\AppData\Local\Temp\~DF16F8.tmp not found!
C:\Users\Nelly\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\UC9G393L\b9QBgL0iMZfDSpmcXcE8nJTpJ4fOLLwmHp8vl0kIMg4[1].eot moved successfully.
C:\Users\Nelly\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\I8C2333J\Zd2E9abXLFGSr9G3YK2MsG8ITcfo9NwJpvZiO7_FxEg[1].eot moved successfully.
C:\Users\Nelly\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\F2LKGOPT\affich-28866118-infectee-par-un-pup-op[2].htm moved successfully.
C:\Users\Nelly\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
C:\Users\Nelly\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
C:\Users\Nelly\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SuggestedSites.dat moved successfully.
File move failed. C:\Windows\temp\CLDigitalHome\CLMS_AGENT_LOG1.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\CLDigitalHome\PCMMediaServer.log scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0

Discussions similaires

Virus du nom de : PUP.Optional.Legacy
Lonis -
lulu -

11 réponses
Pup.optional legacy
Heimm -
bazfile -

13 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
Pup.optional. legacy comment s'en débarrasser
Pearlvoice82 -
Malekal_morte- -

5 réponses
Win32 PUP et Win64 PUP
Bleach0723 -
Utilisateur anonyme -

41 réponses