Comment désinstaller CloudScout?

Résolu

Jowann Messages postés 5 Statut Membre -
Jowann Messages postés 5 Statut Membre - 11 juin 2015 à 19:16

Bonjour,

l'ordinateur de l'association pour laquelle je travaille s'est fait envahir par CloudScout... ça paralyse vraiment tout. :(
J'ai fait le scan par FRST comme conseillé sur le forum.
Est-ce quelqu'un pourrait me dire que faire pour réparer ça?
Merci infiniment d'avance!

Voici les rapport de scan:
https://pjjoint.malekal.com/files.php?id=20150611_r14z10n6t15f6
https://pjjoint.malekal.com/files.php?id=20150611_z6c11r11v10w9
https://pjjoint.malekal.com/files.php?id=20150611_r7x9v9k510

Bonne journée!

Jowan

Afficher la suite

3 réponses

Réponse 1 / 3
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 711

Salut,

Je regarde cela, ton PC est infecté.
0
1. Jowann Messages postés 5 Statut Membre
  
  Merci beaucoup!
  
  0
2. Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 711
  
  Désinstalle StopZilla.
  
  Voici la correction à effectuer avec FRST.
  Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
  
  Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
  Copie/colle dedans ce qui suit :
  
  2015-06-09 12:18 - 2014-12-19 13:33 - 00000000 ____D C:\Users\comptabilité\AppData\Roaming\vi-view
  2015-06-09 12:18 - 2014-10-07 17:09 - 00000000 ____D C:\Users\comptabilité\AppData\Roaming\WSE_Astromenda
  2015-06-09 12:18 - 2013-03-27 17:52 - 00000000 ____D C:\Users\comptabilité\AppData\Local\SwvUpdater
  C:\Program Files\gmsd_fr_598
  HKLM\...\Run: [gmsd_fr_599] => [X]
  HKLM\...\Run: [WinCheck] => C:\Users\comptabilité\AppData\Local\4C4C4544-1433530574-4A10-8058-B4C04F43344A\bnso451D.exe
  HKLM\...\Run: [gmsd_fr_610] => [X]
  HKLM\...\Run: [gmsd_fr_598] => "C:\Program Files\gmsd_fr_598\gmsd_fr_598.exe"
  S2 iaBeAEaFfkk; "C:\ProgramData\jruGrCFxI\iaBeAEaFfkk.exe" [X]
  S2 insvc_1.10.0.14; "C:\Program Files\Infonaut_1.10.0.14\Service\insvc.exe" [X]
  S2 mopydevu; C:\Users\comptabilité\AppData\Roaming\4C4C4544-1433523316-4A10-8058-B4C04F43344A\nsy7DCF.tmpfs [X]
  S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X]
  2015-06-08 15:26 - 2015-06-08 15:26 - 00613255 _____ (CMI Limited) C:\Users\comptabilité\AppData\Local\nsa89FC.tmp
  2015-06-08 15:25 - 2015-06-08 15:25 - 00000000 ____D C:\Users\comptabilité\AppData\Roaming\Optimizer Pro
  2015-06-05 19:59 - 2015-06-09 12:18 - 00000000 ____D C:\Users\comptabilité\AppData\Roaming\4C4C4544-1433527173-4A10-8058-B4C04F43344A
  2015-06-05 18:59 - 2015-06-05 18:59 - 00000000 ____D C:\Program Files\850b14a9-df9b-49e0-86a9-17f782850ec2
  2015-06-05 18:58 - 2015-06-10 20:01 - 00000000 ____D C:\Users\comptabilité\AppData\Local\4C4C4544-1433530716-4A10-8058-B4C04F43344A
  2015-06-05 18:56 - 2015-06-10 17:35 - 00000000 ____D C:\Program Files\GUPlayer
  2015-06-05 18:55 - 2015-06-10 12:06 - 00000000 ____D C:\Users\comptabilité\AppData\Roaming\4C4C4544-1433523316-4A10-8058-B4C04F43344A
  2015-06-05 18:55 - 2015-06-09 12:18 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PepperZip
  2015-06-05 18:55 - 2015-06-09 12:18 - 00000000 ____D C:\Program Files\ControlThis Parental Control
  Task: {E2E1827F-2DE7-48E6-B77E-63FE92C9F126} - System32\Tasks\Crossbrowse => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe <==== ATTENTION
  Task: {ED6DCC8C-51FB-4B80-B7D5-75E25AD863EA} - System32\Tasks\{C082C1BE-3140-481B-ABA1-EF38695B45CC} => pcalua.exe -a "C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\Installer\setup.exe" -c --uninstall --system-level
  Task: {35DD6ED4-D98B-4732-A732-59BBED93BF7C} - System32\Tasks\CloudNATIONAL => CloudNATIONAL.exe
  
  Une fois, le texte coller dans le bloc-note.
  Menu Fichier puis Enregistrer sous.
  A gauche, place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
  
  Relance FRST et clic sur le bouton Fix
  Selon comment un redémarrage est nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
  
  Redémarre l'ordinateur
  
  puis réinitialise tes navigateurs:
  ==================================
  Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
  Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
  Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=
  Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=
  
  ~~
  
  Remets/vérifie que tous les serveurs de noms (DNS) sont automatiques : https://forum.malekal.com/viewtopic.php?t=48312&start=
  PUIS ensuite vide le cache DNS et internet.
  Les 3 étapes sont importantes et à faire sinon les pubs vont continuer.
  
  0
3. Jowann Messages postés 5 Statut Membre
  
  Voilà donc le fichier texte obtenu:
  
  fixlist content:
  
  2015-06-09 12:18 - 2014-12-19 13:33 - 00000000 ____D C:\Users\comptabilité\AppData\Roaming\vi-view
  2015-06-09 12:18 - 2014-10-07 17:09 - 00000000 ____D C:\Users\comptabilité\AppData\Roaming\WSE_Astromenda
  2015-06-09 12:18 - 2013-03-27 17:52 - 00000000 ____D C:\Users\comptabilité\AppData\Local\SwvUpdater
  C:\Program Files\gmsd_fr_598
  HKLM\...\Run: [gmsd_fr_599] => [X]
  HKLM\...\Run: [WinCheck] => C:\Users\comptabilité\AppData\Local\4C4C4544-1433530574-4A10-8058-B4C04F43344A\bnso451D.exe
  HKLM\...\Run: [gmsd_fr_610] => [X]
  HKLM\...\Run: [gmsd_fr_598] => "C:\Program Files\gmsd_fr_598\gmsd_fr_598.exe"
  S2 iaBeAEaFfkk; "C:\ProgramData\jruGrCFxI\iaBeAEaFfkk.exe" [X]
  S2 insvc_1.10.0.14; "C:\Program Files\Infonaut_1.10.0.14\Service\insvc.exe" [X]
  S2 mopydevu; C:\Users\comptabilité\AppData\Roaming\4C4C4544-1433523316-4A10-8058-B4C04F43344A\nsy7DCF.tmpfs [X]
  S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X]
  2015-06-08 15:26 - 2015-06-08 15:26 - 00613255 _____ (CMI Limited) C:\Users\comptabilité\AppData\Local\nsa89FC.tmp
  2015-06-08 15:25 - 2015-06-08 15:25 - 00000000 ____D C:\Users\comptabilité\AppData\Roaming\Optimizer Pro
  2015-06-05 19:59 - 2015-06-09 12:18 - 00000000 ____D C:\Users\comptabilité\AppData\Roaming\4C4C4544-1433527173-4A10-8058-B4C04F43344A
  2015-06-05 18:59 - 2015-06-05 18:59 - 00000000 ____D C:\Program Files\850b14a9-df9b-49e0-86a9-17f782850ec2
  2015-06-05 18:58 - 2015-06-10 20:01 - 00000000 ____D C:\Users\comptabilité\AppData\Local\4C4C4544-1433530716-4A10-8058-B4C04F43344A
  2015-06-05 18:56 - 2015-06-10 17:35 - 00000000 ____D C:\Program Files\GUPlayer
  2015-06-05 18:55 - 2015-06-10 12:06 - 00000000 ____D C:\Users\comptabilité\AppData\Roaming\4C4C4544-1433523316-4A10-8058-B4C04F43344A
  2015-06-05 18:55 - 2015-06-09 12:18 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PepperZip
  2015-06-05 18:55 - 2015-06-09 12:18 - 00000000 ____D C:\Program Files\ControlThis Parental Control
  Task: {E2E1827F-2DE7-48E6-B77E-63FE92C9F126} - System32\Tasks\Crossbrowse => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe <==== ATTENTION
  Task: {ED6DCC8C-51FB-4B80-B7D5-75E25AD863EA} - System32\Tasks\{C082C1BE-3140-481B-ABA1-EF38695B45CC} => pcalua.exe -a "C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\Installer\setup.exe" -c --uninstall --system-level
  Task: {35DD6ED4-D98B-4732-A732-59BBED93BF7C} - System32\Tasks\CloudNATIONAL => CloudNATIONAL.exe
  
  C:\Users\comptabilité\AppData\Roaming\vi-view => moved successfully.
  C:\Users\comptabilité\AppData\Roaming\WSE_Astromenda => moved successfully.
  C:\Users\comptabilité\AppData\Local\SwvUpdater => moved successfully.
  "C:\Program Files\gmsd_fr_598" => File/Folder not found.
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\gmsd_fr_599 => value removed successfully.
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\WinCheck => value removed successfully.
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\gmsd_fr_610 => value removed successfully.
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\gmsd_fr_598 => value removed successfully.
  iaBeAEaFfkk => Service removed successfully.
  insvc_1.10.0.14 => Service removed successfully.
  mopydevu => Service removed successfully.
  innfd_1_10_0_14 => Service removed successfully.
  C:\Users\comptabilité\AppData\Local\nsa89FC.tmp => moved successfully.
  C:\Users\comptabilité\AppData\Roaming\Optimizer Pro => moved successfully.
  C:\Users\comptabilité\AppData\Roaming\4C4C4544-1433527173-4A10-8058-B4C04F43344A => moved successfully.
  C:\Program Files\850b14a9-df9b-49e0-86a9-17f782850ec2 => moved successfully.
  C:\Users\comptabilité\AppData\Local\4C4C4544-1433530716-4A10-8058-B4C04F43344A => moved successfully.
  C:\Program Files\GUPlayer => moved successfully.
  C:\Users\comptabilité\AppData\Roaming\4C4C4544-1433523316-4A10-8058-B4C04F43344A => moved successfully.
  C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PepperZip => moved successfully.
  C:\Program Files\ControlThis Parental Control => moved successfully.
  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E2E1827F-2DE7-48E6-B77E-63FE92C9F126}" => key removed successfully.
  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E2E1827F-2DE7-48E6-B77E-63FE92C9F126}" => key removed successfully.
  C:\Windows\System32\Tasks\Crossbrowse => moved successfully.
  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Crossbrowse" => key removed successfully.
  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{ED6DCC8C-51FB-4B80-B7D5-75E25AD863EA}" => key removed successfully.
  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ED6DCC8C-51FB-4B80-B7D5-75E25AD863EA}" => key removed successfully.
  C:\Windows\System32\Tasks\{C082C1BE-3140-481B-ABA1-EF38695B45CC} => moved successfully.
  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{C082C1BE-3140-481B-ABA1-EF38695B45CC}" => key removed successfully.
  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{35DD6ED4-D98B-4732-A732-59BBED93BF7C}" => key removed successfully.
  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{35DD6ED4-D98B-4732-A732-59BBED93BF7C}" => key removed successfully.
  C:\Windows\System32\Tasks\CloudNATIONAL => moved successfully.
  "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CloudNATIONAL" => key removed successfully.
  End of Fixlog 11:06:13
  
  0
4. Jowann Messages postés 5 Statut Membre
  
  Voilà, j'ai tout fait! Tout semble avoir disparu...
  Merci beaucoup!
  
  Belle journée à vous
  
  0
Réponse 2 / 3
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 711

=)

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
0
Réponse 3 / 3
Jowann Messages postés 5 Statut Membre

Oui, je vais faire plus attention désormais.
Merci pour tout ce que tu fais, héros de l'ombre! :)
0

Comment désinstaller CloudScout?

3 réponses

End of Fixlog 11:06:13

Discussions similaires

Newsletters