HTML :RedirME-inf [Trj] - Site internet bloque par avastRésolu/Fermé

Question

J'ai un site internet conçu par un professionnel il y a 4 ans. Alors que je n'ai jamais eu de soucis, depuis 3 mois mon antivirus avast (version gratuite) me bloque l'accès à mon site en tant que simple internaute pour la raison de menace suivante :
Objet : c:\Users\....\AppData\...\2551 I {gzip}
infection : HTML :RedirME-inf [Trj]
Action : Bloqué
Processus : C:\Program Files\...\firefox.exe
Mon PC de consultation du site et également mon PC avec lequel je mets à jour ce même site. Pour information, lorsque je me connecte à partir de postes équivalents (PC windows 7) mais équipés soit du logiciel Avira, soit AGV, je n'ai aucun problème.
J'ai réalisé plusieurs nettoyages de mon PC avec CCleaner et Malwarebytes, mais je n'arrive pas à traiter mon problème.
Quelqu'un peut il m'aider?
merci

Malekal_morte- · Answer

Salut, 

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB. 
Voici la procédure à suivre pour les supprimer : 

Commence par ceci :

Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= ( d'Xplode ) 
Télécharge le sur ton bureau ou dossier de téléchargement.  
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

GIANNINNO · Answer

Merci,
peux tu me confirmer que le fichier suivant que je viens de télécharger "FileOpenerSetup" est celui dont tu parles? car lors de son lancement il ne s'agit ce n'est pas Adwcleaner qui apparait, mais de pcspeedmaximizeer qui me propose de réparer windows ?
peux tu me confirmer pour que je ne m'engage pas dans des problèmes?
merci

GIANNINNO · Answer

ok, c'est ce que je pensais,
je suis sur la bonne route à nouveau et entrain de scanner

GIANNINNO · Answer

voici le rapport de scan de AdwCleaner, quant aux trois autres (Addition+FRST+Shortcut) je t'ai envoyé leur trois liens par mail (dis moi s'il faut que je te mettes ces liens sur le forum directement)?




***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\apn
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\ProgramData\Allmyapps
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileOpener
Dossier Supprimé : C:\Program Files\PC Speed Maximizer
Dossier Supprimé : C:\Program Files\predm
Dossier Supprimé : C:\Program Files\RegClean Pro
Dossier Supprimé : C:\Program Filesightsurf
Dossier Supprimé : C:\Program Files\Systweak Support Dock
Dossier Supprimé : C:\Program Files\Tweaks
Dossier Supprimé : C:\Program Files\WSE_Vosteran
Dossier Supprimé : C:\Program Files\Software
Dossier Supprimé : C:\Users\l-eau\AppData\Local\FileTypeAssistant
Dossier Supprimé : C:\Users\l-eau\AppData\Local\lollipop
Dossier Supprimé : C:\Users\l-eau\AppData\Local\CrashRpt
Dossier Supprimé : C:\Users\l-eau\AppData\Local\Software
Dossier Supprimé : C:\Users\l-eau\AppData\LocalLow\Delta
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\DigitalSites
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\Systweak
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\Allmyapps
Dossier Supprimé : C:\Users\l-eau\AppData\Roaming\WSE_Vosteran
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\Public\Desktop\FileOpener.lnk
Fichier Supprimé : C:\Windows\system32oboot.exe
Fichier Supprimé : C:\Users\l-eau\AppData\Roaming\Mozilla\Firefox\Profiles\xnlx9p4t.default-1393440752245\invalidprefs.js
Fichier Supprimé : C:\Users\l-eau\AppData\Roaming\Mozilla\Firefox\Profiles\xnlx9p4t.default-1393440752245\user.js
Fichier Supprimé : C:\Users\l-eau\AppData\Roaming\Mozilla\Firefox\Profiles\xnlx9p4t.default-1393440752245\searchplugins\Vosteran.xml

***** [ Tâches planifiées ] *****

Tâche Supprimée : Digital Sites
Tâche Supprimée : WSE_Vosteran

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AlxSSB.AlxTBSSB
Clé Supprimée : HKLM\SOFTWARE\Classes\AlxSSB.AlxTBSSB.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKCU\Software\5e53dd88b138ee47
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1F02FB61-2BE5-4C16-8199-AEAA16EB0342}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C292AD0A-C11F-479B-B8DB-743E72D283B0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9CB2CD61-FFA0-406C-9D2D-8FDE6F4A4D8A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C292AD0A-C11F-479B-B8DB-743E72D283B0}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DA9FC525-41ED-4C00-B046-946DA7CDD305}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C2FB10-84C3-44EB-9F9E-860FA1D9A797}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FBCBC43A-DCA9-4192-A4C8-B57FD0F77D4D}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E57091A7-B5F0-4C42-9329-72ED3E59ED31}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{43C65AA8-D8F0-4A19-8BD5-62213448C46A}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : HKCU\Software\Alexa Internet
Clé Supprimée : HKCU\Software\APN PIP
Clé Supprimée : HKCU\Software\BABSOLUTION
Clé Supprimée : HKCU\Software\Bitberry Software
Clé Supprimée : HKCU\Software\Bitberry
Clé Supprimée : HKCU\Software\Boxore
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\distromatic
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\systweak
Clé Supprimée : HKCU\Software\Tutorials
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKCU\Software\WSE_Vosteran
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\InstallCore
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKLM\SOFTWARE\PIP
Clé Supprimée : HKLM\SOFTWARE\systweak
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Clé Supprimée : HKLM\SOFTWARE\Tutorials
Clé Supprimée : HKLM\SOFTWARE\Vittalia
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\File Opener Packages
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tweaks FileOpener
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WSE_Vosteran
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\43C098337DB065A49B665D4EA7F16D1C
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A71991503412AEB42838B02C5ED9F9CD
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F7652513C62FF63448CFF05163719DB7
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SoftwareUpdate.exe

***** [ Navigateurs ] *****

-\ Internet Explorer v0.0.0.0

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]

-\ Mozilla Firefox v34.0.5 (x86 fr)

[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("browser.search.defaultenginename", "Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("browser.search.selectedEngine", "Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://vosteran.com/?f=1&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzytDyD1V1Bt[...]
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.hmpgUrl", "hxxp://vosteran.com/?f=1&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzytDyD1[...]
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.newTabUrl", "hxxp://vosteran.com/?f=2&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzytDy[...]
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.prtnrId", "WSE_Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.srchPrvdr", "Vosteran");
[xnlx9p4t.default-1393440752245\prefs.js] - Ligne Supprimée : user_pref("extensions.srchvstrn.tlbrSrchUrl", "hxxp://vosteran.com/?f=3&a=vst_ggfc_15_03_ff&cd=2XzuyEtN2Y1L1Qzu0FtDyE0D0AtB0B0B0CtA0ByDyDyEtByCtN0D0Tzu0StCtCtDyBtN1L2XzutAtFyBtFtCtFtBtN1L1CzutCyEtBzyt[...]

*************************

AdwCleaner[R0].txt - [12672 octets] - [12/01/2015 18:42:25]
AdwCleaner[S0].txt - [12658 octets] - [12/01/2015 18:45:40]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [12719 octets] ##########

Malekal_morte- · Answer

ok, passe à FRST :)

GIANNINNO · Answer

bonsoir, 
à ta réponse où tu me demandes le fichier FRST, il semble que tu n'es pas eu mon dernier message. je t'es transmis en effet les liens des 3 rapports comme tu le demandes:

FRST : https://pjjoint.malekal.com/files.php?id=20150112_i11i6p11d1011
ADDITION : https://pjjoint.malekal.com/files.php?id=20150112_n5t6d9x12d9
Shortcut: https://pjjoint.malekal.com/files.php?id=20150112_h15q815n14n9

Encore merci de ton aide, que faut il que je fasse maintenant?

Malekal_morte- · Answer

ca a l'air bon,

Désinstalle Spyhunter, sert à rien.

GIANNINNO · Answer

SUPER
J'ai 2 petites questions pour finir :
1.	Comment désinstaller SpyHunter proprement puisque je ne le trouve pas sur le panneau de configuration ? Il se trouve à l'emplacement suivant : programme > Enigma Software Group > SpyHunter.
2.	Toute la procédure que tu m'as indiquée peut elle être appliquée de la même façon sur mon autre portable (qui est installé avec les mêmes logiciels et windows 7) ?
Encore Mille fois merci, cela faisait 3 jours que je cherchais à m'en sortir !!!!

Malekal_morte- · Answer

Tu peux utiliser la procédure sur un autre ordinateur, si tu as des pubs dessus.

Pour Spyhunter :


Télécharge Combofix sUBs sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs! 

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE 

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

driver::
SpyHunter 4 Service
esgiguard
EsgScanner
file::
C:\WINDOWS\system32\Drivers\EsgScanner.sys
folder::
C:\Users\Virginie\AppData\Roaming\Enigma Software Group
C:\Program Files\Enigma Software Group
C:\Windows\System32\Tasks\SpyHunter4Startup
file::
C:\WINDOWS\System32\Tasks\SpyHunter4Startup
C:\Users\l-eau\Desktop\SpyHunter.lnk
C:\Users\l-eau\AppData\Roaming\Enigma Software Group
C:\Users\l-eau\Desktop\SpyHunter.lnk 




Enregistre ce fichier sous le nom CFScript 

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe 

[*]Combofix se lance, laisse toi guider.. 

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.

GIANNINNO · Answer

salut,
j'ai eu un petit soucis cette nuit lors de la désinstallation de spyhunter.
j'ai suivi ta procédure après avoir bloqué l'antivirus AVG... pour ensuite faire comme convenu un glisser/déposer du fichier CFScript sur le fichier ComboFix.exe. 

je n'ai touché à rien tant que le scan n'était pas terminé mais malheureusement lors de l'exécution, spyhunter s'est lancé automatiquement (à moins qu'il travaillait déjà en silence sans que cela ne puisse se voir).

le pc s'est bloqué, idem pour l'écran, j'ai attendu 45 mn pour suivre ta consigne mais plus rien ne bougeait même en agissant avec le gestionnaire de tache de windows qui ne réagissait pas. 
j'ai finalement repris la main en coupant l'alimentation pour tout relancer.

depuis impossible de relancer la procédure avec combofix et spyhunter est toujours en fonction comme avant.
quoi faire à ce stade?
merci de m'éclairer, je suis sans solution.

GIANNINNO · Answer

merci de ton aide, ton aide à été précieuse pour éradiquer tous ces cookies polluants.
je suis dans la panade pour ce qui de spyhunter (qui sur ce point ne m'a rien apporté) 
je suis preneur d'un secours pour la partie notamment pour sa suppression avec ZHPDiag.
merci

GIANNINNO · Answer

Bonsoir Malekal,

je pensais avoir résolu mon problème après avoir éradiqué les virus et malware avec ton aide.
malheureusement des amis mon signalés que mon site était toujours bloqué par avast. 

je ne comprends pas d'autant qu'après toute la procédure ci dessous que l'on a conduite ensemble, j'ai filtré les fichiers du site au travers du logiciel avast (logiciel installé sur mon poste) ainsi qu'avec avira et avg installés sur d'autres postes...

je ne comprends plus, ce n'est pas logique qu'avast trouve encore à bloquer le site alors qu'il en a nettoyé l'ensemble des fichiers avant qu'ils soient transférés sur le site.

toujours la même infection : HTML :RedirME-inf [Trj]
Processus : C:\Program Files\...\firefox.exe

ci joint le message d'avast


ci joint la liste des malwares supprimés par avast avant transfert des fichiers sur le site


Quelqu'un peut il m'aider?
merci

Malekal_morte- · Answer

bon alors, Au vu des emplacements, notamment le script dans images, ce sont probablement des pages contenants des scripts malicieux pour rediriger des internautes vers des malwares. vite fait dans les sauvegardes, il y a aussi ce code malicieux dans la page de contact : pour le contact - ça donne : default.php : http://ddecode.com/phpdecoder/?results=99c033d2af4652b6ea2d23092b473492 Cela provoque des redirections. Pour contact, du code malicieux qui date de 2012 : http://www.htmlforums.com/archive/index.php/t-148431.html ce qui est très très vieux. C'est difficile de savoir si les pages sont comme ça depuis longtemps ou si le code a été modifié récemment, ça me paraît bizarre, car vu comment c'est vieux, Avast! aurait surement détecté le malware qui provoque ces modifications. Peut-être que les sauvegardes sont passées sur un PC infecté à un moment donné et que tu as tout mis en ligne. A lire : https://forum.malekal.com/viewtopic.php?t=22837&start= Sinon le site a été piraté à distance. ~~ Dans le doute, tu peux faire un scan NOD32 sur ton PC: https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32 Enregistre le rapport et donne le ici. Je doute qu'il trouve grand chose. Peut-être que tu devrais supprimer et repartir sur une sauvegarde saine si tu en as une. Sinon faut tout nettoyer à la main. Like the angel you are, you laugh creating a lightness in my chest, Your eyes they penetrate me, (Your answer's always 'maybe') That's when I got up and left

GIANNINNO · Answer

bravo tu as dû sans doute voir juste, puisque mes premiers problèmes d'infection de site date de 2012, personne n'avait réussi alors à repérer la cause et on se contentait de changer le fichier index... quelques mois plus tard et ça se reproduisait .... mais aujourd'hui le site se bloque carrément.

pour ce qui est des fichiers infectés, je les ai supprimés du site mais je les ai par ailleurs conservés. j'ai cherché à te les envoyer mais je n'y parviens pas, leur envoi est systématiquement bloqué pour cause de virus.

comment puis je te les faire parvenir si cela peut t'aider

en attendant je vais appliquer le scan que tu recommandes.

GIANNINNO · Answer

tout est supprimé
pour la ligne64 à supprimer dans contactpage:



est ce la seule ligne 15 à supprimer?
ou est ce les lignes 14+15+16 à supprimer?

GIANNINNO · Answer

tous les fichiers infectés ont été supprimés
la ligne base64 de contactpage a été supprimée
le site est mis à jour
la machine rebooté.
mais sur IE tout comme firefox j'ai toujours le même blocage d'avast?

juju666 · Answer

Il est sous quel OS ton serveur, un Linux ? 
Si tu peux installer des trucs dessus, essaie ClamAV : http://www.clamav.net/

GIANNINNO · Answer

windows serveur 2003 R2

GIANNINNO · Answer

1. que penses tu malekal sur l'idée de scanner le serveur avec clamav comme le suggère juju ?

2. puisque avast réagit toujours, c'est que certains fichiers sont encore infectés? dans ce cas faudrait il les passer en revue un après l'autre comme le suggère juju? le problème c'est que :

      A j'ai 997 fichiers sur le site! faut il tous les contrôler? peut on hiérarchiser ce travail pour le rendre moins chronophage ? il y a t'il des indices qui nous permettraient de ne traiter qu'une partie comme par ex: ne contrôler que les fichiers avec une extension spécifique? ne pas traiter les autres car inutile? ne traiter que les fichiers dans certaines rubriques etc...
      B comment identifier les codes malveillants dans les lignes des fichiers? est ce toujours celles contenant "ligne64"?
      C si j'entreprends cet énorme travail, suis je sur à l'arrivée d'obtenir enfin une réparation du site?

GIANNINNO · Answer

bonsoir,
voici en retour les analyses d'avast, suite à ma demande de sortir notre site de la blackliste compte tenu de son nettoyage complet et récent:


http://zulu.zscaler.com/submission/show/5ed7d1ec0fbf8def473fa28104b776b4-1421778070
https://www.virustotal.com/gui/url/b0c255484fa682ed96919ce0c80686eb8a299cda04cae6a434d2868166081753
https://www.urlvoid.com/scan/l-eau.eu/

http://www.scumware.org/search.scumware
IFrame trojans

http://urlquery.net/report.php?id=1421778277330
https://sitecheck.sucuri.net/results/l-eau.eu
http://www.scamvoid.com/check/l-eau.eu
http://urlquery.net/report.php?id=1421778618153
https://www.ssllabs.com/ssltest/analyze.html?d=l-eau.eu
https://dnscheck.pingdom.com/?domain=l-eau.eu
http://multirbl.valli.org/lookup/91.216.107.195.html
https://quttera.com/detailed_report/l-eau.eu

que faut il en conclure? comment y répondre?

GIANNINNO · Answer

En effet durant les 2 premières années le fichier .htaccess était resté stable est son contenu était tout autre:

	AuthType Basic 
	AuthName "Accès sécurisé par un mot de passe:" 
	Require valid-user 
	AuthUserFile "/var/www/l-eau.eu/htdocs/beackoffice/user.txt" 

Malekal, j'avais supprimé en effet ce fichier, mais du coup cet ancien fichier me semblant sain, je viens de le mettre à l'emplacement de celui supprimé.

j'ai bien fait?

GIANNINNO · Answer

je cherche à supprimer js/iframe.hh TRJ puisque cela semble être mon fichier malicieux.
quels outils me permettraient d'y parvenir?

juju666 · Answer

déjà dit ici : https://forums.commentcamarche.net/forum/affich-31364205-html-redirme-inf-trj-site-internet-bloque-par-avast#38

car c'pas sur un windows serveur que ça tourne, t'es chez https://www.lws.fr/ et ils fournissent des Linux chrootés ou des windaube pour asp.net

GIANNINNO · Answer

ok merci
je vais faire tout à l'heure et te tiens informé

HTML :RedirME-inf [Trj] - Site internet bloque par avast

24 réponses

Discussions similaires

Newsletters