Comment suprimer malware--win32/Caphaw - Page 2

Résolu
Précédent
  • 1
  • 2
  1. porcupine65 Messages postés 206 Statut Membre 13
     
    Quand je parlait de clean up, je voulais dire faire de nouveau vos instructions avec ccleaner
    0
  2. Utilisateur anonyme
     
    Re,

    fais une capture d'écran avec cette fenêtre d'afficher, héberge l'image sur Cjoint, puis fais ceci :

    - Télécharge OTL sur ton bureau.

    - Fais un double clic sur l'icône pour le lancer.

    Vérifie que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

    - Quand la fenêtre apparaît, coche la case "Tous les utilisateurs"

    - Sous Processus, Modules, Services, Pilotes, Registre: standard, Registre: approfondi coche "Tous".

    - Coche également les cases "Recherche Lop" et "Recherche Purity".

    - Dans la partie Personnalisation, colle ceci :


    HKCU\Software
    HKCU\Software\AppDataLow /s
    HKLM\Software
    HKCU\Software\Microsoft\Command Processor /s
    HKLM\Software\Microsoft\Command Processor /s
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
    HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
    %Homedrive%\*
    %Homedrive%\*.
    %Homedrive%\Recycler\*.exe /s
    %Homedrive%\Recycler\*.scr /s
    %Homedrive%\Recycler\*.pif /s
    %Homedrive%\Recycler\*.vb* /s
    %Homedrive%\$Recycle.bin\*.exe /s
    %Homedrive%\$Recycle.bin\*.scr /s
    %Homedrive%\$Recycle.bin\*.pif /s
    %Homedrive%\$Recycle.bin\*.vb* /s
    %Userprofile%\*
    %Userprofile%\*.
    %Allusersprofile%\*
    %Allusersprofile%\*.
    %LocalAppData%\*
    %LocalAppData%\*.
    %Userprofile%\Local Settings\*
    %Userprofile%\Local Settings\*.
    %Userprofile%\Local Settings\Application Data\*
    %Userprofile%\Local Settings\Application Data\*.
    %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
    %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
    %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
    %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
    %programFiles%\*
    %programFiles%\*.
    %programfiles%\Google\Desktop\*.
    %ProgramFiles%\Common Files\*.
    %ProgramFiles(X86)%\Common Files\*.
    %Systemroot%\Installer\*.
    %Systemroot%\Temp\*.exe /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.in*
    %systemroot%\PSS\* /s
    %systemroot%\Tasks\*
    %systemroot%\Tasks\*.
    %systemroot%\system32\Tasks\*
    %systemroot%\system32\Tasks\*.
    %systemroot%\syswow64\Tasks\*
    %systemroot%\syswow64\Tasks\*.
    %systemroot%\system32\drivers\*.sy* /lockedfiles
    %systemroot%\system32\config\*.exe /s
    %Systemroot%\ServiceProfiles\*.exe /s
    %systemroot%\system32\*.sys
    dir %Homedrive%\* /S /A:L /C
    msconfig
    activex
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndis.sys
    cdrom.sys
    i8042prt.sys
    iastor.sys
    tdx.sys
    netbt.sys
    afd.sys
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    CREATERESTOREPOINT



    - Clique sur le bouton Analyse. L'analyse ne va pas durer longtemps.

    - Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. >OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.

    - Héberge les rapports OTL.Txt et Extras.Txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

    Aide :

    - Comment utiliser Cjoint ?

    - Tutoriel OTL

    0
  3. porcupine65 Messages postés 206 Statut Membre 13
     
    j'ai lancé l'analyse et j'ai remarqué que la fenetre purity s'est decroché tout seule. Je dis attendre la fin de l'analyse ?
    0
  4. porcupine65 Messages postés 206 Statut Membre 13
     
    je dois attendre la fin de l'analyse ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. porcupine65 Messages postés 206 Statut Membre 13
     
    Je me répété.

    quand j'ai lancé analyse le coché sur recherche purity s'est enlevé tout seul.

    l'analyse s'est poursuit et mon antivirus m'a encore demandé si je pouvais faire confiance au site OTL. J'ai dit ok. l'analyse s'est poursuit.

    Une fenêtre noir à apparu et elle est disparue.

    L'annonce potentialthreat details a encore apparue.

    Quand j'ai ouvert mon navigateur chorme, pour aller dans votre site .un advertissement web a apparu me dissant qu'une extension s'est ajouté pour copier tous les sites visités et m'a invité à supprimer et je l'ai fait.

    Voici les rapports obtenus:

    https://www.cjoint.com/?3Ims471J9QM
    https://www.cjoint.com/?3Ims5SIFWQC

    Esperant vous lire sous peu , Merci.
    0
  7. Utilisateur anonyme
     
    Re,

    - Lance OTL Clique sur l'icône présent sur ton bureau

    Note: Sous Vista, Seven, 8 clique droit ""Exécuter en tant qu'Administrateur"

    - Important :Copie-colle correctement le script ci-dessous dans la fenêtre personnalisation :

    :OTL
    DRV:[b]64bit:[/b] - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
    DRV:[b]64bit:[/b] - [2012-05-28 14:28:18 | 000,197,264 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HipShieldK.sys -- (HipShieldK)
    File not found (No name found) -- C:\USERS\DANIEL\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TGEOHOA5.DEFAULT\EXTENSIONS\{9F93BD66-D3D2-427D-B37F-743603E2388D}.XPI
    File not found (No name found) -- C:\USERS\DANIEL\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TGEOHOA5.DEFAULT\EXTENSIONS\TOOLBAR_ORJ-ST-SPE@APN.ASK.COM.XPI
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    [2014-09-01 14:08:00 | 000,000,000 | ---D | C] -- C:\Users\Daniel\Documents\Optimizer Pro
    @Alternate Data Stream - 220 bytes -> C:\Users\Daniel\OneDrive:ms-properties

    :Reg
    [HKEY_USERS\S-1-5-21-2145278835-1897977521-357834142-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SmootherWeb]


    - Clique ensuite sur Correction laisse l'outil travailler.

    un fichier "LOG" doit s'ouvrir avec le bloc-notes.

    Autrement Il est sauvegardé dans le dossier C:\_OTL\Moved Files\

    - Héberge le rapport xxxx2014_xxxxxx.log présent sur ton bureau au redémarrage de ton PC sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

    Aide :

    - Comment utiliser Cjoint ?

    - Tutoriel OTL Options "Script"

    Ce ne sont pas les mauvaises herbes qui étouffent le bon grain, c'est la négligence du cultivateur.
    0
  8. porcupine65 Messages postés 206 Statut Membre 13
     
    Bonjour

    Voici le rapport que j'ai trouvé https://www.cjoint.com/?3InoHClWOUk

    je me demandait si nous pouvions mettre un autre antivirus comme avg la version d'essaie savoir s'il peut detecter et supprimer le cheval de troie ou s'il ne detecte rien.

    Merci
    0
  9. Utilisateur anonyme
     
    Re,

    Met l'extension .txt au fichier que tu m'a envoyer.

    Puis redémarre le PC et dis moi si tu as encore ce message.
    0
  10. porcupine65 Messages postés 206 Statut Membre 13
     
    Bonjour,

    Le message a apparu, j'ai enfin pu copier ce message et je vous le colle ci-bas.

    J'ai eu des améliorations dans mon système , mes adresses https sur google chrome le cadenas est vert , celles de Comodo Dragon sont vert et changent avec un icone jaune, sur le même site google .ca
    je peux renter dans votre site avec Google chrome sans difficulté,et il ne me deconnecte pas. Comodo Dragon me déconnecte de votre site quand je rentre mon mot de passe et je vais aller visionner votre réponse.

    Pouvons nous desistaller ComoDO Dragon, voir si le problème viens de là ?

    Voici le texte de Security Alert , la rubrique en haut en rouge , je ne peux pas vous la copier. voici le reste.
    Installation

    Win32/Caphaw often uses a legitimate file name to avoid suspicion. It scans the <system folder> folder for legitimate file names, then copies itself into the %APPDATA% folder using the same name. For example, the file name for Task Manager is <system folder>\taskmgr.exe. Caphaw might copy itself into your PC as %APPDATA%\taskmgr.exe.
    Caphaw can also use these file names:

    <system folder> \lssas.exe - note that a legitimate file called lsass.exe exists in the same folder
    %windir% \assembly\nativeimages_v2.0.50727_32\temp\zapf.tmp\system.data.entity.design.dll
    %windir% \svchost.exe - note that a legitimate file with the same name exists in <system folder>

    Caphaw injects itself into legitimate processes like the following to make it more difficult to remove:
    cmd.exe
    explorer.exe
    firefox.exe
    iexplore.exe
    reader_sl.exe
    svchost.exe

    Caphaw creates mutexes to make sure that only one instance of itself is running in memory.
    To run every time Windows starts, some variants of Caphaw create an entry in the system registry:

    In subkey: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Sets value: "<random CLSID>" (for example, {FAD5ADC3-DABB-6BFF-ED11-CB329C7D70E2})
    With data: "<malware path and file name>" (for example "%APPDATA%\Microsoft\Excel\xlstart\winmine.exe")

    Older variants of Caphaw also install a rootkit component. An infected master boot record (MBR) is detected as Trojan:DOS/Caphaw.A.

    Spreads Via

    Skype
    One Caphaw variant, Win32/Caphaw.N, can do a number of actions on Skype, including:
    Disabling audio alerts
    Downloading files from a remote server
    Sending messages and files to your
    Removing traces of its actions on Skype, like file transfers , recent conversations

    Facebook
    Caphaw can spread by hijacking your Facebook account and posting a copy of itself into your friends' walls.

    Shared and removable drives
    Caphaw can spread to other PCs via shared and removable drives. It creates shortcut files that link to a hidden Caphaw copy in the root folder of the shared or removable drive. If you click on the shortcut file, the Caphaw copy runs.

    Drive-by malware
    Caphaw can be installed via drive-by exploits. It's been known to be installed using vulnerabilities in Adobe Flash or Java.

    Payload

    Lets a malicious hacker control your PC

    Caphaw lets a malicious hacker access and control your PC. The actions we've observed include:

    Control your desktop
    Control your mouse and keyboard
    Access your files and folders
    Upload your files to a hacker-controlled FTP server
    Delete files
    Download and run other files
    Redirect Internet traffic via a proxy server
    Send ICMP packets that can be used in distributed denial-of-service
    Log and redirect web traffic from Firefox and Internet Explorer
    Shut down or restart your PC
    Spread to other PCs upon command
    Log keystrokes
    Change your PC settings
    Start or stop programs
    Update itself

    Steals banking information

    Caphaw can inject code and fake phone numbers into online banking websites when you visit them. It does this to try and steal your login information for these websites. It targets the online banking websites for these institutions:

    Barclays
    Bank of Scotland
    Co-Operative Bank
    Egg.Com
    Fidelity
    First Direct
    HSBC
    InterActive Brokers
    John Lewis Financial
    Leicester
    Lloyds Bank
    MBNA
    NatWest
    POFS Save Credit
    RBS
    Santander
    Tesco Finance
    Theaa
    Ulster Bank
    VirginMoney
    YorkShire Bank
    0
  11. porcupine65 Messages postés 206 Statut Membre 13
     
    Bonjour

    J'attend de vos nouvelles.

    Merci et bonne journée.
    0
  12. Utilisateur anonyme
     
    Re,

    ▶ Télécharge RogueKiller (par tigzy) sur le bureau

    Version32bits

    Version 64bits

    Info: Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

    Note: Si le programme bloqué par un malware, renommer l'exécutable en winlogon.exe, ou changer l'extension de fichier en .fr (ex: Roguekiller.fr)

    ▶ Lance RogueKiller, "Exécuter en tant qu'administrateur" sous Windows : 7/8 et Vista

    Note : Attends que le PreScan ait fini.

    ▶ Clique sur Scan.

    Note : Patiente le temps du scan.

    ▶ Clique sur Rapport

    ▶ Clique sur Fichier, puis Enregistrer sous ... et enregistre le sur ton bureau !

    ▶ Héberge le rapport RKreport_SCN_xxxxxxxx_xxxxxx.log présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

    ▶ Aide : Comment utiliser Cjoint ?

    ➔ Tutoriel RogueKiller
    0
  13. porcupine65 Messages postés 206 Statut Membre 13
     
    J'ai eu de la miséré à télécharger RogueKiller, un virus est rentré au même temps et mon antivirus l'a arrête. Le logiciel demandait de mettre une version plus récent et quand j'ai dit oui, des pups ont commencé à renter. Jai cancellé et recommancé de nouveau.

    Beaucoup des pubs de publicité ont apparu, aussi quand j'ai rentré de nouveau dans votre site pour vous répondre.

    voici le rapport: https://www.cjoint.com/?3IqvzXvdeZ4

    Espérant vous lire sous peu, Merci.
    0
  14. porcupine65 Messages postés 206 Statut Membre 13
     
    Bonjour,

    J'ai lancé de nouveau l'analyse complet de mon antivirus et il a détecté plusieurs cheval de Troie qu'il a supprimé. J'ai redémarré mon ordi et le fameux message n'appairait plus. Je crois que le problème est réglé ?

    Est ce que je peux supprimé les rapports gardés ,je vais garder seulement CCleaner. est ce OK ?
    0
  15. Utilisateur anonyme
     
    Re,

    Si tu n'as plus de souci, fais ce qui suit :

    - Télécharge DelFix sur ton bureau.

    - Lance le,

    Note: Pour les utilisateurs de Vista/Seven/8, cliquer droit sur l'icône et "Exécuter en tant qu'administrateur",

    - Coche toutes les cases.

    - Patiente pendant le scan jusqu'à l'ouverture du rapport.

    - Héberge le rapport DelFix.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

    Aide : Comment utiliser Cjoint ?

    Note : Le rapport se trouve également sous C:\DelFix.txt
    ______________________________________________________________

    - Télécharge TFC (de OldTimer) sur ton bureau.

    - Lance TFC, "Exécuter en tant qu'administrateur" sous Windows : 7/8 et Vista

    - Clique sur Start

    Note : Patiente le temps du scan, une fois terminer

    - Clique sur Exit

    - Redémarre ton PC normalement
    0
  16. porcupine65 Messages postés 206 Statut Membre 13
     
    Bonjour

    Quand j'ai cliqué sur Cjoint, dans la fenêtre internet il y a eu de pups de antivirus qui ont apparu. J'ai fermé et recommencé sans problème.

    Voici le rapport ttp://cjoint.com/?3Irr1bG01U5

    Le message n'apparaît plus.
    Comment bloquer ces pubs ?

    Merci et j'attend de tes nouvelles.
    0
  17. Utilisateur anonyme
     
    Re,

    Voilà, la désinfection de ton PC étant terminée, je t'invite à installer les mises à jour ainsi que à prendre les addons pour ton navigateur si tu ne les as déjà pas, puis de lire certaines pages internet qui t'aideront à comprendre et de ce fait t'éviteront d'autres problèmes.

    - N'oublies pas de mettre à jour java:

    - Mettre à jour la console java

    - N'oublies pas de mettre à jour Adobe flash player pour Firefox et Internet explorer

    => Adobe Flash Player pour Firefox

    => Adobe Flash Player pour Internet Explorer

    - N'oublies pas de mettre à jour adobe reader

    => Adobe reader

    ==> N'oubliez pas décochez l'offre proposé par adobe concernant Macfee !!!

    N'oublies pas aussi de maintenir Windows à jour via Windows update

    N'oublies pas de défragmenter de temps en temps ton disque dur:

    Avec par exemple Deffagler ou disk-defrag

    Information sur la défragmention à lire : Qu'est-ce que la fragmentation?

    Oublies les genres de nettoyeurs comme Tuneup ,Glary et autres nettoyeurs miracles ils ne te feront que ralentir ta machine et nettoyer plus blanc que blanc peut provoquer de graves dysfonctionnements

    - Internet Explorer:

    - Sécurise tes navigateurs par exemple avec WOT et simple adblock pour Internet explorer

    => Pour télécharger WOT pour "Internet Explorer"

    => Pour simple adblock

    => Pour AdBlockPlus

    - Chrome:

    => Pour télécharger WOT pour "Chrome"

    => Pour télécharger Adblock pour "Chrome"

    - Firefox:

    => Wot pour firefox

    => Adblock Plus firefox

    - Fais attention à ce que tu télécharges où et comment

    Évités si possible de télécharger sur O1net, tom's guide, télécharger.com et Softonic et compagnie car ils repackent les logiciels avec des programmes potentiellement indésirables (PUP's)

    => A lire On entends beaucoup parler de PUP / LPI mais que signifie tout ça ?

    => A lire Fausses mises à jours - Comment les éviter

    => A lire Logiciel Potentiellement Indésirable - Comment se protéger !

    => A lire Les toolbars ... un cauchemar !

    - Sécurisation du PC des logiciels potentiellement indésirables , toolbars , etc...

    Lorsqu'on est sous Windows et qu'on adore installer tout un tas de softs étranges, il faut savoir rester vigilant. En effet, certains programmes d'install proposent durant l'installation des toolbars et autres adware qui seront difficiles par la suite à retirer de votre système.

    En général, on fait attention, et on décoche les cases qui vont bien, mais il suffit d'une fois, d'un petit coup de barre et on laisse passer la toolbar fatale.

    Mais pourquoi se prendre la tête alors qu'un petit soft peut faire le travail pour vous ?

    Télécharge : => unchecky un service qui tourne en tâche de fond sous Windows, qui détectera automatiquement les logiciels additionnels dans les programmes d'installation et qui décochera les cases qu'il faut pour éviter de se faire polluer.

    Inscrit toi sur le forum pour mettre le sujet en résolu si tu ne l'a pas déjà fait !

    N'oublies pas de mettre ton sujet en résolu => marquer un fil de discussion comme etant resolu

    Sois prudent et bon surf! ;)

    ++
    0
  18. porcupine65 Messages postés 206 Statut Membre 13
     
    Je tiens à vous remercier énormément de votre précieuse aide, de ton temps et de ta patience pour régler mon problème.

    BRAVO pour votre courtoisie, et votre professionnalisme tout au long du processus

    Encore merci pour vos conseils qui me seront très utiles.

    Bonne semaine.
    0
Précédent
  • 1
  • 2