Infection URL:Mal - getusaaall.info

[Résolu/Fermé]
Signaler
Messages postés
484
Date d'inscription
dimanche 10 septembre 2006
Statut
Membre
Dernière intervention
13 septembre 2021
-
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,

Avast m'envoie ce message sans arrêt - j'ai passé adwcleaner malwarebytes réinitialisé mon navigateur firefox et le message suivant revient toujours :

hxxp://getusaaall.info/?e=svon&cht=2&dcu=1&cpatch=2&dcs=1&pf=1&unp=Azm9CdOLv7DVDyxECyFPg7x9Ae0KBfUKAe4MBG0VWznLDe4PBNq9geFI&publisher=969&dd=4&country=FR&ind=6168240787670430069&exid=1404653195522692187&ssd=13576637665241476347&hid=10370517800795945462&osid=601&channel=0&sfx=1&jc=1&category_name=SaveOn2&install_date=20130706

Infection
URL:Mal
J'ai besoin de votre aide
Merci d'avance

13 réponses

Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Salut,


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
484
Date d'inscription
dimanche 10 septembre 2006
Statut
Membre
Dernière intervention
13 septembre 2021
28
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
C'est un message qui revient toutes les 10min détecté dans svchost.exe ?

J'imagine que Malwarebytes ne détecte plus rien ?
Messages postés
484
Date d'inscription
dimanche 10 septembre 2006
Statut
Membre
Dernière intervention
13 septembre 2021
28
Oui le message revient toutes les 10 min et malwarebytes ne voit rien ; je vois comment si c'est dans svchost.exe ?
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Normalement Avast! t'en informes.

Désactive la protection Avast! pour 30min.
Vois si ça continue après cela.
Messages postés
484
Date d'inscription
dimanche 10 septembre 2006
Statut
Membre
Dernière intervention
13 septembre 2021
28
D'accord je désactive la protection avast et je ne touche plus rien ?
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
voila :)
Messages postés
43211
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
8 septembre 2021
3 750
@malekal

Même cas sur un autre sujet => Faux positif ?
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Oui et non l'URL est vraiment malicieuse :
&category_name=SaveOn2&install_date=20130706

Ce n'est pas un FP :
https://forums.commentcamarche.net/forum/affich-30446275-avast-bloque-une-url-appelee-automatiquement
https://forums.commentcamarche.net/forum/affich-30439757-virus-detecte-dans-svchost-exe

Mais à chaque fois les PC sont cleans, donc je pense qu'Avast! continue à émettre les alertes, on va voir ce que ça donne en désactivant la protection pendant 30min.
Messages postés
43211
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
8 septembre 2021
3 750
OK regarde tes MP :)
Messages postés
484
Date d'inscription
dimanche 10 septembre 2006
Statut
Membre
Dernière intervention
13 septembre 2021
28
Bonjour,
Hier j'ai déconnecté avast comme préconisé puis reconnecté ce matin lorsque j'ai ouvert mon pc malwarebytes a détecté un virus qui a été mis en quarantaine et depuis plus rien plus d'alerte avast puis-je considérer mon problème comme résolu ?
Merci
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Cool :)
Tu peux donner le dernier rapport Malwarebytes pour voir :)
Messages postés
484
Date d'inscription
dimanche 10 septembre 2006
Statut
Membre
Dernière intervention
13 septembre 2021
28
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
well :)
good :)


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


Messages postés
484
Date d'inscription
dimanche 10 septembre 2006
Statut
Membre
Dernière intervention
13 septembre 2021
28
Merci beaucoup pour ton aide bonne journée
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Garde Malwarebytes, il est efficace :)

Bonne journée aussi :)
Messages postés
484
Date d'inscription
dimanche 10 septembre 2006
Statut
Membre
Dernière intervention
13 septembre 2021
28
D'accord merci encore
http://pjjoint.malekal.com/files.php?id=OTL_20140708_c15m6h12v96

Serait-ce possible d'examiner aussi mon rapport svp ? Cordialement
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Salut,


Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:



:OTL
SRV - [2014/04/29 16:53:52 | 000,351,008 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe -- (Update WiseEnhance)
SRV - [2013/01/20 17:31:15 | 000,139,576 | ---- | M] (Boxore OU.) [Auto | Stopped] -- C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe -- (supdate)
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}: URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_18_ie&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtAzy0FyByCyDzy0FtB0BtCtN0D0Tzu0SzzyDtDtN1L2XzutBtFtBtDtFyCtFtDtN1L1CzutCyEtDtAtDyD1V1QtN1L1G1B1V1N2Y1L1Qzu2SyE0CyDtCtA0C0FzztGtBzy0AyDtG0A0B0DtBtGzzzytC0BtGtAyD0CzzyEtCyC0F0A0CyEyE2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyC0D0E0B0BtD0E0BtGtAtDyBtDtGyByD0FyBtG0ByEzytAtGyEzztDyD0CyD0BtCyEyByEtC2Q&cr=1217675134&ir= <b>[Pays US - 23.23.218.156]</b>
IE - HKU\S-1-5-21-206311130-566534379-1509975648-1002\..\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}: URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_18_ie&cd=2XzuyEtN2Y1L1Qzu0Bzzzzzz0EtAzy0FyByCyDzy0FtB0BtCtN0D0Tzu0SzzyDtDtN1L2XzutBtFtBtDtFyCtFtDtN1L1CzutCyEtDtAtDyD1V1QtN1L1G1B1V1N2Y1L1Qzu2SyE0CyDtCtA0C0FzztGtBzy0AyDtG0A0B0DtBtGzzzytC0BtGtAyD0CzzyEtCyC0F0A0CyEyE2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyC0D0E0B0BtD0E0BtGtAtDyBtDtGyByD0FyBtG0ByEzytAtGyEzztDyD0CyD0BtCyEyByEtC2Q&cr=1217675134&ir= <b>[Pays US - 50.112.121.87]</b>
FF - HKLM\Software\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8: C:\Program Files (x86)\Software\Update\1.2.201.0\npSoftwareOneClick8.dll (Boxore OU.)
CHR - Extension: Smart Display = C:\Users\lou\AppData\Local\Google\Chrome\User Data\Default\Extensions\engaigpbgdjjmanonjcjkcmomgibneba\1.8_0\
CHR - Extension: No name found = C:\Users\lou\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.6_0\
CHR - Extension: No name found = C:\Users\lou\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.7_0\
CHR - Extension: No name found = C:\Users\lou\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.8_0\
O2 - BHO: (no name) - {bc8c4384-d19c-474b-a298-c90b7e5c5204} - No CLSID value found.
O4 - HKU\S-1-5-21-206311130-566534379-1509975648-1002..\Run: [DataMgr] C:\Users\lou\AppData\Roaming\DataMgr\DataMgr.exe (HTTO Group, Ltd.)
[2014/06/21 19:36:49 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Boxore
[2014/02/26 17:55:52 | 002,239,352 | ---- | C] () -- C:\Users\lou\AppData\Local\omesuperv.exe
[2013/04/15 16:05:05 | 000,000,000 | ---D | M] -- C:\Users\lou\AppData\Roaming\BabSolution
[2013/02/16 21:10:16 | 000,000,000 | ---D | M] -- C:\Users\lou\AppData\Roaming\Babylon
[2014/07/07 19:17:02 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\WiseEnhance



* poste le rapport ici

Tu devrais faire un nettoyage AdwCleaner => https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start=
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
c'est une correction sur OTL que tu dois effectuer.
Le rapport était trop long, je l'ai mis ici:
http://pjjoint.malekal.com/files.php?id=OTL_20140708_k15m7f15d15o15

J'ai effectué un nettoyage avec CCleaner, cela suffit-il ?
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Je pense :)
Si les alertes continuent, désactive la protection pendant 30min.
D'accord, merci pour votre aide et votre temps :)
J'ai le même souci et voici le lien du rapport

http://pjjoint.malekal.com/files.php?id=20140713_y14h10e7y9i12

qqun peut-il m'aider?
Messages postés
43211
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
8 septembre 2021
3 750
Ouvres toi un sujet :)
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Salut,

Tu as qq programmes parasites qui tournent, fais un nettoyage AdwCleaner : https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start=
Cela ne change rien malheureusement j'ai toujours le même message qui revient me disant que l'ordi est infecté :( je ne sais plus quoi faire
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Fais le nettoyage AdwCleaner et désactive la protection Avast! pendant 30min.