Infection URL:Mal - getusaaall.info

Résolu
Susan30 Messages postés 499 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Avast m'envoie ce message sans arrêt - j'ai passé adwcleaner malwarebytes réinitialisé mon navigateur firefox et le message suivant revient toujours :

hxxp://getusaaall.info/?e=svon&cht=2&dcu=1&cpatch=2&dcs=1&pf=1&unp=Azm9CdOLv7DVDyxECyFPg7x9Ae0KBfUKAe4MBG0VWznLDe4PBNq9geFI&publisher=969&dd=4&country=FR&ind=6168240787670430069&exid=1404653195522692187&ssd=13576637665241476347&hid=10370517800795945462&osid=601&channel=0&sfx=1&jc=1&category_name=SaveOn2&install_date=20130706

Infection
URL:Mal
J'ai besoin de votre aide
Merci d'avance

13 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Faire un Scan OTL - Temps : Environ 40min
    =====================
    OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.dll /s
    %APPDATA%\*.
    %PROGRAMFILES%\*.
    %PROGRAMDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    ping www.google.fr /c
    ipconfig /all /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    **** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
    Je répète : donne le lien du rapport pjjoint ici en réponse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    C'est un message qui revient toutes les 10min détecté dans svchost.exe ?

    J'imagine que Malwarebytes ne détecte plus rien ?
    0
  3. Susan30 Messages postés 499 Date d'inscription   Statut Membre Dernière intervention   29
     
    Oui le message revient toutes les 10 min et malwarebytes ne voit rien ; je vois comment si c'est dans svchost.exe ?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Normalement Avast! t'en informes.

    Désactive la protection Avast! pour 30min.
    Vois si ça continue après cela.
    0
  6. Susan30 Messages postés 499 Date d'inscription   Statut Membre Dernière intervention   29
     
    D'accord je désactive la protection avast et je ne touche plus rien ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      voila :)
      0
  7. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    @malekal

    Même cas sur un autre sujet => Faux positif ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Oui et non l'URL est vraiment malicieuse :
      &category_name=SaveOn2&install_date=20130706

      Ce n'est pas un FP :
      https://forums.commentcamarche.net/forum/affich-30446275-avast-bloque-une-url-appelee-automatiquement
      https://forums.commentcamarche.net/forum/affich-30439757-virus-detecte-dans-svchost-exe

      Mais à chaque fois les PC sont cleans, donc je pense qu'Avast! continue à émettre les alertes, on va voir ce que ça donne en désactivant la protection pendant 30min.
      0
    2. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      OK regarde tes MP :)
      0
  8. Susan30 Messages postés 499 Date d'inscription   Statut Membre Dernière intervention   29
     
    Bonjour,
    Hier j'ai déconnecté avast comme préconisé puis reconnecté ce matin lorsque j'ai ouvert mon pc malwarebytes a détecté un virus qui a été mis en quarantaine et depuis plus rien plus d'alerte avast puis-je considérer mon problème comme résolu ?
    Merci
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Cool :)
      Tu peux donner le dernier rapport Malwarebytes pour voir :)
      0
  9. Susan30 Messages postés 499 Date d'inscription   Statut Membre Dernière intervention   29
     
    Merci beaucoup pour ton aide bonne journée
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Garde Malwarebytes, il est efficace :)

      Bonne journée aussi :)
      0
    2. Susan30 Messages postés 499 Date d'inscription   Statut Membre Dernière intervention   29
       
      D'accord merci encore
      0
  10. Wolf
     
    http://pjjoint.malekal.com/files.php?id=OTL_20140708_c15m6h12v96

    Serait-ce possible d'examiner aussi mon rapport svp ? Cordialement
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Salut,


      Relance OTL.
      o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
      Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:



      :OTL
      SRV - [2014/04/29 16:53:52 | 000,351,008 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe -- (Update WiseEnhance)
      SRV - [2013/01/20 17:31:15 | 000,139,576 | ---- | M] (Boxore OU.) [Auto | Stopped] -- C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe -- (supdate)
      IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}: URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_18_ie&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtAzy0FyByCyDzy0FtB0BtCtN0D0Tzu0SzzyDtDtN1L2XzutBtFtBtDtFyCtFtDtN1L1CzutCyEtDtAtDyD1V1QtN1L1G1B1V1N2Y1L1Qzu2SyE0CyDtCtA0C0FzztGtBzy0AyDtG0A0B0DtBtGzzzytC0BtGtAyD0CzzyEtCyC0F0A0CyEyE2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyC0D0E0B0BtD0E0BtGtAtDyBtDtGyByD0FyBtG0ByEzytAtGyEzztDyD0CyD0BtCyEyByEtC2Q&cr=1217675134&ir= <b>[Pays US - 23.23.218.156]</b>
      IE - HKU\S-1-5-21-206311130-566534379-1509975648-1002\..\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}: URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_18_ie&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtAzy0FyByCyDzy0FtB0BtCtN0D0Tzu0SzzyDtDtN1L2XzutBtFtBtDtFyCtFtDtN1L1CzutCyEtDtAtDyD1V1QtN1L1G1B1V1N2Y1L1Qzu2SyE0CyDtCtA0C0FzztGtBzy0AyDtG0A0B0DtBtGzzzytC0BtGtAyD0CzzyEtCyC0F0A0CyEyE2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyC0D0E0B0BtD0E0BtGtAtDyBtDtGyByD0FyBtG0ByEzytAtGyEzztDyD0CyD0BtCyEyByEtC2Q&cr=1217675134&ir= <b>[Pays US - 50.112.121.87]</b>
      FF - HKLM\Software\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8: C:\Program Files (x86)\Software\Update\1.2.201.0\npSoftwareOneClick8.dll (Boxore OU.)
      CHR - Extension: Smart Display = C:\Users\lou\AppData\Local\Google\Chrome\User Data\Default\Extensions\engaigpbgdjjmanonjcjkcmomgibneba\1.8_0\
      CHR - Extension: No name found = C:\Users\lou\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.6_0\
      CHR - Extension: No name found = C:\Users\lou\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.7_0\
      CHR - Extension: No name found = C:\Users\lou\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.8_0\
      O2 - BHO: (no name) - {bc8c4384-d19c-474b-a298-c90b7e5c5204} - No CLSID value found.
      O4 - HKU\S-1-5-21-206311130-566534379-1509975648-1002..\Run: [DataMgr] C:\Users\lou\AppData\Roaming\DataMgr\DataMgr.exe (HTTO Group, Ltd.)
      [2014/06/21 19:36:49 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Boxore
      [2014/02/26 17:55:52 | 002,239,352 | ---- | C] () -- C:\Users\lou\AppData\Local\omesuperv.exe
      [2013/04/15 16:05:05 | 000,000,000 | ---D | M] -- C:\Users\lou\AppData\Roaming\BabSolution
      [2013/02/16 21:10:16 | 000,000,000 | ---D | M] -- C:\Users\lou\AppData\Roaming\Babylon
      [2014/07/07 19:17:02 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\WiseEnhance



      * poste le rapport ici

      Tu devrais faire un nettoyage AdwCleaner => https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start=
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      c'est une correction sur OTL que tu dois effectuer.
      0
    3. Wolf
       
      Le rapport était trop long, je l'ai mis ici:
      http://pjjoint.malekal.com/files.php?id=OTL_20140708_k15m7f15d15o15

      J'ai effectué un nettoyage avec CCleaner, cela suffit-il ?
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Je pense :)
      Si les alertes continuent, désactive la protection pendant 30min.
      0
    5. Wolf
       
      D'accord, merci pour votre aide et votre temps :)
      0
  11. Jordan
     
    J'ai le même souci et voici le lien du rapport

    http://pjjoint.malekal.com/files.php?id=20140713_y14h10e7y9i12

    qqun peut-il m'aider?
    0
    1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      Ouvres toi un sujet :)
      0
    2. jordan
       
      Cela ne change rien malheureusement j'ai toujours le même message qui revient me disant que l'ordi est infecté :( je ne sais plus quoi faire
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Fais le nettoyage AdwCleaner et désactive la protection Avast! pendant 30min.
      0