Infecté par diverse PUP; trojan et adwareRésolu/Fermé

Question

Bonjour, 

J'ai de nouveau récupéré un ordinateur à désinfecter et cette fois ce n'est pas qu'un peu.
Le pc affichait des pubs à cause des logiciels installé avast n'arrète pas de lancer des alertes...
Bref j'ai fait un scan avec malwarebytes puis ensuite avec adwcleaner.

Voici le résultat des logiciels:

Scan de MBAM: https://pjjoint.malekal.com/files.php?id=20150321_v14r15z9p15p13

Le rapport d'analyse d'ADWCleaner: https://pjjoint.malekal.com/files.php?id=20150321_n10b15c8m5b8

Enfin le rapport de suppression d'ADWCleaner: https://pjjoint.malekal.com/files.php?id=20150321_o6o6w5k5h8

J'ai passé un coup de ccleaner pour supprimer quelques données inutiles (fichiers temporaires...) et pendant le scan de MBAM; j'ai désinstaller quelques cochonneries trouvé par ce dernier. Pendant que j'ai tappé ce message, il n'y a plus eu de pub; mais avast me signal de temps en temps des adware.gen ou autres joyeusetés.

Merci encore une fois pour l'aide que vous allez apporter et je souhaite encore du courrage à qui se collera à cette désinfection ;)

PS: en attendant une réponse je lance un scan complet avec avast.

Malekal_morte- · Answer

Salut,

Pour voir s'il reste des trucs :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Utilisateur anonyme · Answer

Alors pour FRST.txt voici le lien: https://pjjoint.malekal.com/files.php?id=FRST_20150321_y6v15b7f5p15

Pour FRST.txt le lien est: https://pjjoint.malekal.com/files.php?id=20150321_y13s15s11q10k9

Enfin pour FRST.txt tu peux regarder ici: https://pjjoint.malekal.com/files.php?id=20150321_p13r6b14n14x13

Voilà; pour le moment avast en est à 26% mais n'a rien détecté.

Malekal_morte- · Answer

Voici la correction à effectuer avec FRST. Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK. Copie/colle dedans ce qui suit : 2015-03-21 19:09 - 2015-03-21 19:09 - 00001946 _____ () C:\Users\Public\Desktop\SW Update.lnk 2015-03-21 17:47 - 2015-03-21 17:47 - 00000000 ____D () C:\Program Files (x86)\MyPC Backup 2015-03-21 13:16 - 2015-03-21 13:17 - 00000000 ____D () C:\ProgramData\12432574668826275089 2015-03-17 22:37 - 2015-03-17 22:37 - 0613255 _____ (CMI Limited) C:\Users\Laurence\AppData\Local si52CD.tmp 2013-06-24 15:53 - 2013-06-24 15:53 - 0000000 _____ () C:\Users\Laurence\AppData\Local\{B86C18A7-6C82-4B3C-9CDC-C44561DE7173} Task: {878A182B-5770-48D1-AAB8-1D384124F07A} - System32\Tasks\{E811EEAB-696D-43A7-91F3-C3A02716CE89} => pcalua.exe -a C:\Users\Laurence\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=tugs <==== ATTENTION Task: {E8898BB7-1E7C-4F7E-A2A5-5056A5BD2378} - System32\Tasks\WIN-statsAdmin => C:\Users\Laurence\AppData\Local\Microsoft\WinU\~edyticx.exe <==== ATTENTION Une fois, le texte coller dans le bloc-note. Menu Fichier puis Enregistrer sous. A gauche, place toi sur le bureau. Dans le champs en bas, nom du fichier mets : fixlist.txt Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau. Relance FRST et clic sur le bouton Fix Selon comment un redémarrage est nécessaire (pas obligatoire). Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur puis réinitialise tes navigateurs: ================================== Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites : Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start= Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start= Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=

Utilisateur anonyme · Answer

Pour les navigateurs; je le fait après avoir posté le rapport de frst. Voilà le fixlog.txt: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015 Ran by Laurence at 2015-03-22 05:49:02 Run:1 Running from C:\Users\Laurence\Desktop Loaded Profiles: UpdatusUser & Laurence (Available profiles: UpdatusUser & Laurence) Boot Mode: Normal ============================================== Content of fixlist: * 2015-03-21 19:09 - 2015-03-21 19:09 - 00001946 _____ () C:\Users\Public\Desktop\SW Update.lnk 2015-03-21 17:47 - 2015-03-21 17:47 - 00000000 ____D () C:\Program Files (x86)\MyPC Backup 2015-03-21 13:16 - 2015-03-21 13:17 - 00000000 ____D () C:\ProgramData\12432574668826275089 2015-03-17 22:37 - 2015-03-17 22:37 - 0613255 _____ (CMI Limited) C:\Users\Laurence\AppData\Local si52CD.tmp 2013-06-24 15:53 - 2013-06-24 15:53 - 0000000 _____ () C:\Users\Laurence\AppData\Local\{B86C18A7-6C82-4B3C-9CDC-C44561DE7173} Task: {878A182B-5770-48D1-AAB8-1D384124F07A} - System32\Tasks\{E811EEAB-696D-43A7-91F3-C3A02716CE89} => pcalua.exe -a C:\Users\Laurence\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=tugs <==== ATTENTION Task: {E8898BB7-1E7C-4F7E-A2A5-5056A5BD2378} - System32\Tasks\WIN-statsAdmin => C:\Users\Laurence\AppData\Local\Microsoft\WinU\~edyticx.exe <==== ATTENTION * C:\Users\Public\Desktop\SW Update.lnk => Moved successfully. C:\Program Files (x86)\MyPC Backup => Moved successfully. C:\ProgramData\12432574668826275089 => Moved successfully. C:\Users\Laurence\AppData\Local si52CD.tmp => Moved successfully. C:\Users\Laurence\AppData\Local\{B86C18A7-6C82-4B3C-9CDC-C44561DE7173} => Moved successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{878A182B-5770-48D1-AAB8-1D384124F07A}" => Key deleted successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{878A182B-5770-48D1-AAB8-1D384124F07A}" => Key deleted successfully. C:\Windows\System32\Tasks\{E811EEAB-696D-43A7-91F3-C3A02716CE89} => Moved successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E811EEAB-696D-43A7-91F3-C3A02716CE89}" => Key deleted successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E8898BB7-1E7C-4F7E-A2A5-5056A5BD2378}" => Key deleted successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E8898BB7-1E7C-4F7E-A2A5-5056A5BD2378}" => Key deleted successfully. C:\Windows\System32\Tasks\WIN-statsAdmin => Moved successfully. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WIN-statsAdmin" => Key deleted successfully. End of Fixlog 05:49:04 Edit: Le scan avec avast n'avait détecté qu'un seul truc qui se trouvait dans le dossier quarantaine de ADWCleaner ;)

Malekal_morte- · Answer

réinitialise les navigateurs WEB et vois ce que cela donne.

Utilisateur anonyme · Answer

Je ne comprends pas, j'ai réinitialiser IE; réinstallé , avec suppression des données et réinitialisé de google chrome. Désactivé quasiment tout les modules dans IE et supprimer ce que je ne connaissait pas sous google chrome; pourtant en cliquant sur nettoyage des navigateurs dans Avast, il a trouvé ask updater qui n'apparaît nul part (ni dans les navigateurs; ni dans ajout/suppression de windows).
Après un nouveau scan de MBAM mis à jour; rien n'est trouvé avec ce dernier. Il me reste donc à conclure qu'il devait y avoir un reste de ask quelque part de ce "faux moteur de recherche" mais pas réellement installé.

Avast n'a plus rien mis en quarantaine depuis hier 13h00... Donc je peux dire que ça va déjà nettement mieux que quand j'ai récupéré l'ordinateur. Il n'y a plus de page de pub qui apparaissent depuis hier dans l'après-midi.

Utilisateur anonyme · Answer

Le scan d'ESET n'a rien donné ce qui est trouvé était dans les dossiers de quarantaine d'ADWcleaner et de FRST
http://hpics.li/d7545c6
http://www.hostingpics.net/viewer.php?id=186007rapportESET.png

Ce qui est étrange c'est qu'Avast ne détecte réellement rien sauf quand il y a le pc qui se connecte à internet. C'est pareil au niveau de mon routeur; rien de nouveau au niveau des logs; pas de nouvelles tentative de connexion de la part du portable...

Edit: je viens de déconnecter le câble Ethernet puis rebranché et de nouveau Avast m'a de nouveau afficher une alerte toujours vers la même IP. Par contre sur mon routeur je n'ai pas eu d'autres alertes; mais c'est à cause de mon ordinateur qui actualisait les logs toutes les 10 secondes; donc restait connecter au routeur empêchant les autres ordinateurs d'essayer de s'identifier.

Utilisateur anonyme · Answer

OK c'est toi l'expert et je laisse tranquillement avast fumer ;)
Merci pour l'aide. Je suppose donc que je peux tout supprimer (adwcleaner et frst ainsi que les logs)?

Malekal_morte- · Answer

oui,

Essaye de désactiver les protections Avast! pendant 1H.

Fais un nettoyage des disques - paragraphe "Nettoyage de Disque : supprimer les fichiers temporaires, cache internet etc." 
=> http://www.malekal.com/2011/09/04/comment-liberer-de-lespace-disque/ 


Voila, c'est terminé, tu peux supprimer les programmes utilisés. 

Quelques conseils : 



Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start= 


Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/ 


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html 
 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Utilisateur anonyme · Answer

J'avais passer ccleaner après une désinstallation et avant la réinstallation d'avast; mais j'ai quand même eu des alertes... Par contre j'avais oublié de décocher la case qui garde les fichiers temporaires de windows de moins de 24h :(

Du coup j'ai viré Avast hier soir et j'ai mis antivir/avira à la place. Mais je peux m'amusé à remettre Avast pour voir ce que ça donne ;)
D'ailleur je l'ai fait et il semblerai qu'Avast ne lance plus d'alerte... Ouf ;)

Il me reste plus qu'à désinstaller les logiciels et de faire lire ça aux propriétaires.
Merci encore une fois pour l'aide et fini bien la semaine ;)

Malekal_morte- · Answer

soit =)

Voila, c'est terminé, tu peux supprimer les programmes utilisés. 

Quelques conseils : 



Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start= 


Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/ 


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Infecté par diverse PUP; trojan et adware

11 réponses

End of Fixlog 05:49:04

Discussions similaires

Newsletters