Bubble dock et Storm Alert : Monstres infections

[Résolu/Fermé]
Signaler
Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
-
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,

En voulant désinstaller Bubble dock, ça m'a installé pleins de programmes dont je n'ai pu stopper l'installation.
J'ai scanné MBAM, plus de 2000 infections.
Scanné avec Adwcleaner.

Et puis continuellement l'antivirus qui me prévenait de quantités d'infections.

Je vous attends pour la suite.

https://www.cjoint.com/?DLkv4TOwjNO

https://www.cjoint.com/c/DLkv5CVvaLb

Merci


5 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 055
Salut,

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99
Bjr Malekal

Ton lien de telechargement de RST m'inquiète. Je tombe sur des pages bizarres en cliquant sur Download.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 055
Ca doit être les infections qui provoquent des redirections.
C'est embettant.

Lien direct : http://download.bleepingcomputer.com/dl/d790d11b288a8f4666e5378cb70c014d/5488bac4/windows/security/security-utilities/f/farbar-recovery-scan-tool/32/FRST.exe
http://download.bleepingcomputer.com/dl/83ac2bb21a940aed07eb4d8949d0d791/5488bae6/windows/security/security-utilities/f/farbar-recovery-scan-tool/64/FRST64.exe
Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99 >
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021

Qd je clique sur ton lien, le premier ça m'ouvre un setup de YAC speed PC. Un truc pas clair ça je crois.
Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99
En anglais, je crois comprendre que la version est non compatible, grrrrrrrrrrrr
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 055
Exporte tes favoris : https://support.google.com/chrome/answer/96816?hl=fr
Désinstalle Google Chrome depuis le panneau de configuration et programmes et fonctionnalités (ou désinstaller programmes).
A la désinstallation coche l'option de suppression des profils.
Télécharge et Réinstalle Google Chrome https://telecharger.malekal.com/download/google-chrome/
réimporte les favoris.


et retente, si pas mieux, transfère FRST par clef USB depuis un autre PC.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99
Je ne l'utilise pas Chrome Malekal, mais Firefox.
Je fais donc ce que tu dis, mais sur Firefox.
Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99
Bjr Malekal

J'ai procédé comme tu as dit, à savoir télécharger FRST à partir d'un autre PC.

https://www.cjoint.com/c/DLliw6h7OWf

https://www.cjoint.com/c/DLlizuOwnpG

https://www.cjoint.com/c/DLliATQZLsy
Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99
Dans les processus, j'en remarque des "bizarres".
J'ai anticipé en faisant un scann avec RogueKiller.
Ai je bien fait. Si ce n'est pas le cas, tu me grondes :))

"""""""""""""""""""""""

RogueKiller V10.0.9.0 [Dec 8 2014] par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.adlice.com/fr/roguekiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode normal
Utilisateur : mamoune [Administrateur]
Mode : Scan -- Date : 12/11/2014 08:37:24

¤¤¤ Processus : 1 ¤¤¤
[Suspicious.Path] VULDGMaBwd.exe -- C:\ProgramData\DrJUWOR\VULDGMaBwd.exe[7] -> Tué(e) [TermProc]

¤¤¤ Registre : 7 ¤¤¤
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VULDGMaBwd ("C:\ProgramData\DrJUWOR\VULDGMaBwd.exe") -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\VULDGMaBwd ("C:\ProgramData\DrJUWOR\VULDGMaBwd.exe") -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet003\Services\VULDGMaBwd ("C:\ProgramData\DrJUWOR\VULDGMaBwd.exe") -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)

¤¤¤ Tâches : 1 ¤¤¤
[Suspicious.Path] \Microsoft\Windows\Media Center\PeriodicScanRetry -- %windir%\ehome\MCUpdate.exe (-pscn 0) -> Trouvé(e)

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 2 (Driver: Non chargé [0xc000036b]) ¤¤¤
[IAT:Inl] (firefox.exe) WS2_32.dll - WSARecv : Unknown @ 0x45025620 (jmp 0xffffffffcecee597)
[IAT:Inl] (firefox.exe) nss3.dll - PL_strfree : Unknown @ 0x168274 (jmp dword near [0x671973d0])

¤¤¤ Navigateurs web : 1 ¤¤¤
[PUM.HomePage][FIREFX:Config] qx0377ym.default-1418244002960 : user_pref("browser.startup.homepage", "https://www.ledauphine.com/haute-savoie"); -> Trouvé(e)

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3265GSX +++++
--- User ---
[MBR] 11b90506a6499dd759475632b08369fc
[BSP] 0e1b9e3cf654206fb8eb1f3aa86e36dd : HP MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 24578048 | Size: 100 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 24782848 | Size: 293143 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 1f89d61a65b5bd72e00aa30170dbe9fd
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 8064 | Size: 3820 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 055
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


R2 VULDGMaBwd; C:\ProgramData\DrJUWOR\VULDGMaBwd.exe [2726776 2014-12-10] (Rational Thought Solutions)
2014-12-11 00:16 - 2014-12-11 07:55 - 00000000 ____D () C:\Users\mamoune\AppData\Local\StormAlert
2014-12-10 20:33 - 2014-12-10 20:33 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2014-12-10 20:33 - 2014-12-10 20:33 - 00000000 ____D () C:\Program Files (x86)\STab
2014-12-10 19:53 - 2014-12-10 19:53 - 00003284 _____ () C:\Windows\System32\Tasks\yQSNvtgfClXRiB0
2014-12-10 19:53 - 2014-12-10 19:53 - 00003244 _____ () C:\Windows\System32\Tasks\7Rr7WG8Fk5bzXG9
2014-12-10 19:53 - 2014-12-10 19:53 - 00003242 _____ () C:\Windows\System32\Tasks\8Jf5ElFauc09WUm
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\ProgramData\atjs
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\Users\mamoune\AppData\Roaming\W7yWuWE
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\Users\mamoune\AppData\Roaming\v5kesKx
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\Users\mamoune\AppData\Roaming\8ve8vgH
C:\ProgramData\DrJUWOR

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99
Ben c'est pas facile. Des pages qui s'ouvrent en continu.

Et puis je t'ai dit plus Malekal, que dans les processus, j'avais plusieurs qui me semblent bizarres.

Breffffff

""""""""""""

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-12-2014 01
Ran by mamoune at 2014-12-11 11:41:04 Run:1
Running from C:\Users\mamoune\Desktop
Loaded Profile: mamoune (Available profiles: mamoune)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
R2 VULDGMaBwd; C:\ProgramData\DrJUWOR\VULDGMaBwd.exe [2726776 2014-12-10] (Rational Thought Solutions)
11 00:16 - 2014-12-11 07:55 - 00000000 ____D () C:\Users\mamoune\AppData\Local\StormAlert
2014-12-10 20:33 - 2014-12-10 20:33 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2014-12-10 20:33 - 2014-12-10 20:33 - 00000000 ____D () C:\Program Files (x86)\STab
2014-12-10 19:53 - 2014-12-10 19:53 - 00003284 _____ () C:\Windows\System32\Tasks\yQSNvtgfClXRiB0
2014-12-10 19:53 - 2014-12-10 19:53 - 00003244 _____ () C:\Windows\System32\Tasks\7Rr7WG8Fk5bzXG9
2014-12-10 19:53 - 2014-12-10 19:53 - 00003242 _____ () C:\Windows\System32\Tasks\8Jf5ElFauc09WUm
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\ProgramData\atjs
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\Users\mamoune\AppData\Roaming\W7yWuWE
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\Users\mamoune\AppData\Roaming\v5kesKx
2014-12-10 19:53 - 2014-12-10 19:53 - 00000000 ____D () C:\Users\mamoune\AppData\Roaming\8ve8vgH
C:\ProgramData\DrJUWOR
*****************

VULDGMaBwd => Unable to stop service
VULDGMaBwd => Service deleted successfully.
11 00:16 - 2014-12-11 07:55 - 00000000 ____D () C:\Users\mamoune\AppData\Local\StormAlert => Error: No automatic fix found for this entry.
C:\ProgramData\IHProtectUpDate => Moved successfully.
C:\Program Files (x86)\STab => Moved successfully.
C:\Windows\System32\Tasks\yQSNvtgfClXRiB0 => Moved successfully.
C:\Windows\System32\Tasks\7Rr7WG8Fk5bzXG9 => Moved successfully.
C:\Windows\System32\Tasks\8Jf5ElFauc09WUm => Moved successfully.
C:\ProgramData\atjs => Moved successfully.
C:\Users\mamoune\AppData\Roaming\W7yWuWE => Moved successfully.
C:\Users\mamoune\AppData\Roaming\v5kesKx => Moved successfully.
C:\Users\mamoune\AppData\Roaming\8ve8vgH => Moved successfully.

"C:\ProgramData\DrJUWOR" directory move:

Could not move "C:\ProgramData\DrJUWOR\info.dat" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\VULDGMaBwd.dat" => Scheduled to move on reboot.
C:\ProgramData\DrJUWOR\VULDGMaBwd.exe => Moved successfully.
C:\ProgramData\DrJUWOR\VULDGMaBwd.exe.config => Moved successfully.
Could not move "C:\ProgramData\DrJUWOR\dat\chzWmID.dll" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\dat\PBAazLh.exe" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\dat\PBAazLh.exe.config" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\dat\tOfxwNTJ.dll" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\dat\UzDXVEs.exe" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR\dat\UzDXVEs.exe.config" => Scheduled to move on reboot.
Could not move "C:\ProgramData\DrJUWOR" directory. => Scheduled to move on reboot.


=> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2014-12-11 11:42:45)<=

C:\ProgramData\DrJUWOR\info.dat => Is moved successfully.
C:\ProgramData\DrJUWOR\VULDGMaBwd.dat => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\chzWmID.dll => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\PBAazLh.exe => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\PBAazLh.exe.config => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\tOfxwNTJ.dll => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\UzDXVEs.exe => Is moved successfully.
C:\ProgramData\DrJUWOR\dat\UzDXVEs.exe.config => Is moved successfully.
C:\ProgramData\DrJUWOR => Is moved successfully.

==== End of Fixlog ====
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 055
vois ce que cela donne.
Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99
Je viens de l'ôter "Boxore client", et j'ouvre de nouveau Ccleaner pour m'apercevoir qu'il est encore là. Grrrrrrrrrrrrrrrrr.
Faut que j'interroge google pour savoir comment l'éliminer.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 055
Si tu parles de la liste des programmes (ce sont des restes), faut utiliser le fix de microsoft, voir : https://forum.malekal.com/viewtopic.php?t=44630&start=
Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99
Oui dans la liste "Ccleaner" des programmes installés
Oki, j'ai activé "Fix it" et effectivement "Boxore" n'est pas dans la liste.
J'ai ôté les clés Boxore que j'ai vu dans la BDR.
Je regarde si il a disparu enfin et je te dis ce qu'il en est.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 055
ok :)
Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99
L'ordi fonctionne très bien, et plus rapide que même avant ces dernières infections. Probable que Boxore n'était pas étranger au phénomène, ainsi que d'autres processus que j'ai arrêté. Mais "arrêté" n'est pas le signe non plus qu'il ne réapparaîtront pas. En tout cas Boxore n'est plus là.
Je clos le sujet Malekal.

Merci pour ton aide et ta réactivité.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 055
good :)


Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99
Oki Malekal, je regarde tout ça.

MBAM je l'utilise régulièrement, C'est par lui que j'ai vu les quelques 2000 infections.
J'utilise régulièrement Ccleaner pour désinstaller et nettoyer.
Puis de temps à autre un scann avec Adwcleaner.
Et puis après, intervient Malekal :-))

Bonne suite à toi.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 055
lol :)
bon début de WE à toi aussi :)
Messages postés
3008
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
11 juin 2021
99
Excuse moi, une question subsidiaire. Lorsqu'une réponse est satisfaisante, l'on clique sur (+) j'imagine.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 055
oui et -1 quand c'est une réponse mauvaise.