PC infecté par page malveillante

Résolu/Fermé
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014 - 20 janv. 2014 à 11:15
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014 - 22 janv. 2014 à 20:48
bonjour,
Il y a quelque temps, suite à une fausse MAJ de Java, mon PC a été infecté : page d'accueil NationZoom et fenêtres publicitaires intempestives. Ma fille qui vit en Australie, m'a aidée à distance avec Malewarebytes. J'ai fait un scan qui a détecté des Trojan.SProtector (et RegistryData) et Adware.Lollipop... J'ai suivi la procédure et ils sont en quarantaine. Puis j'ai redémarré et reconfigurer mes navigateurs Mozilla Firefox et Google Chrome. Il n'y a plus de NationZoom ni de pages pub, mais à chaque fois que je me connecte sur mes jeux favoris j'ai des alertes de Malwarebytes anti-malware : blocage réussi de l'accès à un site web potentiellement malveillant (adresse IP différente suivant le jeu ouvert) Type sortant. Ma fille me dit que mon PC est toujours infecté.

Je ne sais pas comment vous envoyer le document texte obtenu

pouvez vous m'aider ?
A voir également:

15 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
Modifié par Malekal_morte- le 20/01/2014 à 12:11
Salut,

Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.

Mais y a des chances que ce sont des pubs malicieuses notamment pour les fausses mises à jour Java/Flash qui rammènent Nation Zoom, voir http://www.malekal.com/2013/12/03/nation-zoom-et-fausses-mises-a-jour-java-pup-domaiq/

Quelle IP est bloquée ?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Jojolaguitare Messages postés 11699 Date d'inscription vendredi 31 août 2012 Statut Membre Dernière intervention 1 décembre 2022 2 690
20 janv. 2014 à 12:25
Salut.
Excuse Malekal pour le désordre. Le temps que j'écris ma réponse la tienne est arrivée entre temps.
A + ...
0
Jojolaguitare Messages postés 11699 Date d'inscription vendredi 31 août 2012 Statut Membre Dernière intervention 1 décembre 2022 2 690
20 janv. 2014 à 12:20
Bonjour.


Effectivement votre pc est toujours infecté. Vous auriez du poser votre demande d' aide dans VIRUS/SECURITE. Néanmoins installez ADW cleaner

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

Faîtes un scan puis cliquez sur nettoyer. Votre pc va redémarrer. ATTENDEZ durant la désinfection ( elle peut être de 1 à 3 mn suivant l'infection )

Ensuite allez dans vos navigateurs puis les extensions pour supprimer tout ce qui n'est pas google, firevox et autres .

Ensuite il vous faudra désinstaller proprement Java à l'aide de Revo Uninstaller,
beaucoup plus efficace que par le système Windows et donc à garder sur votre pc pour toute désinstallation.

https://www.pcastuces.com/logitheque/revo_uninstaller.htm

Cliquez sur Java puis sur mode " avancé "puis désinstaller Continuez la procédure de recherches pour supprimer tout ce qu'il reste dans le registre.

Redémarrez le PC

Réinstallez Java si vous en avez l'utilité ( you tube en général )

https://www.java.com/fr/

Hélas il nous faut faire de plus en plus attention à l'installation de logiciels mais aussi des mises à jour. Ça devient énervant


Ce ne sont là que des suggestions ... A +
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
Modifié par Malekal_morte- le 20/01/2014 à 12:26
Pourquoi désinstaller Java ?
Pourquoi désinsaller par Revo alors qu'il se désinstalle très bien par programmes et fonctionnalités?

Si c'est parce que ça va par des fausses mises à jour Java, ça n'a rien à voir...
Ca n'installe pas un java malicieux.
0
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014
20 janv. 2014 à 12:42
merci Malekal et Jojolaguitare

voici la liste des 3 extensions (qui sont toutes désactivées) :

flash-Enhancer 2.1
Microsoft.NET Framework Assistant 0.0.0
Widget context 3.0.0.0

les I.P. bloquées : type sortant

162.210.192.21

23.23.96.46

et aussi quelquefois

vérifier les paramètres

89.28.106.92
Type entrant

voilà
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
20 janv. 2014 à 12:47
Supprime : flash-Enhancer

Passe AdwCleaner comme Jojolaguitare te conseille :
https://forums.commentcamarche.net/forum/affich-29542801-pc-infecte-par-page-malveillante#2

Donne le rapport de suppression.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014
20 janv. 2014 à 13:41
au secours !!!!
j'ai scanné et pas compris le fonctionnement de adwcleaner (pas vu tout de suite qu'il y avait une floppée d'onglets) cru qu'il n'y avait que l'onglet services et lancé nettoyage, pas pu arrêter le processus quand suis allée dans onglet suivant... je crois que j'ai supprimé beaucoup de choses que je ne devais pas :(

j'ai bien un rapport et je ne peux pas l'envoyer

que faire ?
0
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014
20 janv. 2014 à 13:43
j'ai fait un copier coller


***** [ Services ] *****

Service Supprimé : Wpm

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\WPM
[!] Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\TTakeTheeCoupaoon
Dossier Supprimé : C:\Program Files\Mobogenie
Dossier Supprimé : C:\Program Files\Zoomex
Dossier Supprimé : C:\Program Files\TTakeTheeCoupaoon
Dossier Supprimé : C:\Documents and Settings\Administrateur\Local Settings\Application Data\genienext
Dossier Supprimé : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mobogenie
Dossier Supprimé : C:\Documents and Settings\Administrateur\Local Settings\Application Data\torch
[x] Non Supprimé : C:\Documents and Settings\Administrateur\Application Data\newnext.me
[x] Non Supprimé : C:\Documents and Settings\Administrateur\Application Data\SwvUpdater
Dossier Supprimé : C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Mobogenie
[x] Non Supprimé : C:\Documents and Settings\Administrateur\Mes documents\Mobogenie
[x] Non Supprimé : C:\Documents and Settings\LocalService\Application Data\Mozilla\Firefox\Profiles\zsxaa7uo.default\Extensions\bm_ln@oywqszvxs.com
[x] Non Supprimé : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml
[x] Non Supprimé : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ifohbjbgfchkkfhphahclmkpgejiplfo
[!] Dossier Supprimé : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kiplfnciaokpcennlkldkdaeaaomamof
[x] Non Supprimé : C:\Documents and Settings\Administrateur\Bureau\Mobogenie.lnk
Fichier Supprimé : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\newtab.crx
Fichier Supprimé : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ifohbjbgfchkkfhphahclmkpgejiplfo_0.localstorage
Fichier Supprimé : C:\WINDOWS\Tasks\AmiUpdXp.job

***** [ Raccourcis ] *****

Raccourci Désinfecté : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Google Chrome\Google Chrome.lnk
Raccourci Désinfecté : C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Internet Explorer.lnk
Raccourci Désinfecté : C:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\Quick Launch\Démarrer Internet Explorer.lnk
Raccourci Désinfecté : C:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
Raccourci Désinfecté : C:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk

***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\ifohbjbgfchkkfhphahclmkpgejiplfo
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\kiplfnciaokpcennlkldkdaeaaomamof
Clé Supprimée : HKCU\Software\Classes\Applications\lollipop.exe
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [NextLive]
Clé Supprimée : HKLM\SOFTWARE\Classes\Updater.AmiUpd
Clé Supprimée : HKLM\SOFTWARE\Classes\Updater.AmiUpd.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Mobogenie.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [mobilegeni daemon]
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{14F35FFC-522A-4DD1-A07E-6B8B65C6891E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{AC329328-7EC4-4C34-B672-0A2B90CB9B00}
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
Valeur Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List [C:\Documents and Settings\Administrateur\Local Settings\Application Data\Torch\Plugins\Torrent\TorchTorrent.exe]
Valeur Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Documents and Settings\Administrateur\Local Settings\Application Data\Torch\Plugins\Torrent\TorchTorrent.exe]
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\PrivitizeVPNInstallDates
Clé Supprimée : HKCU\Software\StartSearch
Clé Supprimée : HKCU\Software\torch
Clé Supprimée : HKCU\Software\AppDataLow\SProtector
Clé Supprimée : HKLM\Software\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\Software\nationzoomSoftware
Clé Supprimée : HKLM\Software\SP Global
Clé Supprimée : HKLM\Software\SProtector
Clé Supprimée : HKLM\Software\supWPM
Clé Supprimée : HKLM\Software\torch
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\torch
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mobogenie
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\torch
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Mobogenie
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

***** [ Navigateurs ] *****

-\\ Internet Explorer v6.0.2900.5512

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [SearchAssistant]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [CustomizeSearch]

-\\ Mozilla Firefox v26.0 (fr)

[ Fichier : C:\Documents and Settings\LocalService\Application Data\Mozilla\Firefox\Profiles\zsxaa7uo.default\prefs.js ]


[ Fichier : C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\esy045z8.default-1389662568187\prefs.js ]

Ligne Supprimée : user_pref("aol_toolbar.default.homepage.check", false);
Ligne Supprimée : user_pref("aol_toolbar.default.search.check", false);
Ligne Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 0);
Ligne Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Ligne Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
Ligne Supprimée : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
Ligne Supprimée : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
Ligne Supprimée : user_pref("sweetim.toolbar.previous.keyword.URL", "");
Ligne Supprimée : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Ligne Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_DS", "");
Ligne Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_HP", "");
Ligne Supprimée : user_pref("sweetim.toolbar.searchguard.enable", "");

-\\ Google Chrome v31.0.1650.63

[ Fichier : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\preferences ]

Supprimée : homepage

*************************

AdwCleaner[R0].txt - [10990 octets] - [20/01/2014 13:25:35]
AdwCleaner[S0].txt - [9015 octets] - [20/01/2014 13:31:43]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [9075 octets] ##########
0
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014
20 janv. 2014 à 14:25
et puis mes 3 extensions désactivées sont toujours là...
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
20 janv. 2014 à 14:26
Pas grave tant qu'elles sont désactivées.

Est-ce que tu as des alertes sur ces IPs sur d'autres sites ou seulement sur les sites de jeux ?
Tu peux donner l'adresse de ces sites pour voir ?
0
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014
20 janv. 2014 à 15:03
Je ne sais pas si c'est important, mais j'ai 2 picotgrammes gris à coté de la barre adresse de yahoo et farmville2 :

un cube lego Adobe flash est activé 2 boutons bloquer le plugin - laisser activé

et un pictogramme danger : ce site ne fournit aucune information concernant son identité
0
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014
20 janv. 2014 à 15:07
désolée, je dois m'absenter là.
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
Modifié par Malekal_morte- le 20/01/2014 à 15:14
ca ne répond pas à mes questions.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014
20 janv. 2014 à 15:13
a plus tard

je vous dirais si le phénomène continue

merci de votre aide et de me dire s'il faudra que je fasse encore quelque chose pour tout ce que j'ai supprimé par erreur.

A tout à l'heure
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
20 janv. 2014 à 15:14
à plus tard :)
0
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014
22 janv. 2014 à 18:29
bonjour,
je n'ai plus d'alertes quand je me connecte depuis deux jours. Cela signifie t il que mon PC n'est plus du tout infecté ?
Malekal,
as tu reçu tous mes messages du 20 ,janvier : le rapport que j'avais copié-collé, le mot indiquant que je n'avais pas d'alertes sur les quelques sites que j'avais utilisés autres que ceux des jeux ? Si oui, peux tu me dire si les éléments (documents, applications, clés, etc..)que j'ai malheureusement supprimés avec Adware cleaner sont importants.

Merci de ta réponse et de ton aide.
0
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014
20 janv. 2014 à 19:40
de retour :)

j'ai l'impression que le message de malwarebytes n'apparaît plus quand je me connecte sur les pages indiquées. Et je n'avais pas de message de ce type quand je me suis rendue sur yahoo, commentcamarche , ni sur la page pour télécharger adwcleaner, est ce que cela répond à votre question ?
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
22 janv. 2014 à 19:09
Si tu n'as plus le message alors c'est good :)

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

0
MargJ Messages postés 17 Date d'inscription lundi 20 janvier 2014 Statut Membre Dernière intervention 23 janvier 2014
22 janv. 2014 à 20:48
Merci beaucoup pour ton aide :)
0