J'ai 166 menaces trouvées par MABAMRésolu/Fermé

Question

Bonsoir 

Comme de temps en temps j'ai connecté mon Galaxy S4 sur mon pc pour extraire quelques photos. Mais ce soir le comportement du pc et du smartphone n'était pas normal.

La page s'ouvrait et se refermait sans arrêt, de plus une partition PBT image (Y) avec le curseur tout rouge est apparu. Je suis allé sur Google pour savoir ce qu'était ce dossier et j'ai vu que je n'avais plus ma page d'accueil de Google habituel. Le chemin était www.trovi.com

J'ai passé Malwarebytes qui a trouvé 166 menaces.

Est-ce que mon Téléphone peut-être infecté, Merci de votre aide, voici quelques liens. Je n'ai pas passé Adwcleaner, car il y a quelques semaines mon épouse et moi avons eu des problèmes sous Windows 8.1, si celui-ci est de nouveau opérationnel je le passerais volontier

Rapport ZHPDiag
http://www.cjoint.com/c/EFmtr6O33gD

Celui de Malwarebytes
http://www.cjoint.com/c/EFmvM7ncSRD

Malekal_morte- · Answer

Salut, 

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB. 
Voici la procédure à  suivre pour les supprimer : 

Commence par ceci :

Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= ( d'Xplode ) 
Télécharge le sur ton bureau ou dossier de téléchargement.  
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mà¨nent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

rolandin131 · Answer

Bonjour merci de ta réponse rapide. 

Voici le premier rapport de Adwcleaner
# AdwCleaner v4.206 - Rapport créé le 13/06/2015 à 17:08:49
# Mis à jour le 01/06/2015 par Xplode
# Base de données : 2015-06-09.1 [Serveur]
# Système d'exploitation : Windows 8.1  (x64)
# Nom d'utilisateur : ROLANDIN - ROLAND
# Exécuté depuis : C:\Users\ROLANDIN\Downloads\AdwCleaner.exe
# Option : Nettoyer

 [ Services ] *****
 [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\simplitec
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\simplitec
Dossier Supprimé : C:\Program Files (x86)\simplitec
Dossier Supprimé : C:\Users\ROLANDIN\AppData\Roaming\simplitec
Fichier Supprimé : C:\Users\Public\Desktop\simplicheck.lnk
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\simplicheck.lnk
Fichier Supprimé : C:\Windows\AppPatch\Custom\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb
Fichier Supprimé : C:\Users\ROLANDIN\AppData\Roaming\GDIPFONTCACHEV1.DAT

 [ Tâches planifiées ] *****
 [ Raccourcis ] *****
 [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{6E993643-8FBC-44FE-BC85-D318495C4D96}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}
Clé Supprimée : HKCU\Software\Myfree Codec
Clé Supprimée : HKCU\Software\SearchProtect
Clé Supprimée : HKCU\Software\CleanerProConfig
Clé Supprimée : HKCU\Software\CleanerProLanguage
Clé Supprimée : HKLM\SOFTWARE\Myfree Codec
Clé Supprimée : HKLM\SOFTWARE\simplitec
Clé Supprimée : HKLM\SOFTWARE\SPPDCOM
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Price Fountain
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0A7D6F3C-F2AB-48ED-BE23-99791BFF87D6}
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\C3F6D7A0BA2FDE84EB329997B1FF786D
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\C3F6D7A0BA2FDE84EB329997B1FF786D
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\499E8534DA7E759419D2048CB780D3D5
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5DCE3C04E576AD15F972B67D0725120C
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\62255E52F19EC97429A42D59D49024FA
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\930D9472A978D7A4EB16BF4DECB173B7
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AEB93799E8B47D14CA356E4343D632A4
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BAE7C2A75DF08824E9CEFDE20F655BD9
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\C3F6D7A0BA2FDE84EB329997B1FF786D

 [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17840


-\ Mozilla Firefox v38.0.5 (x86 fr)

[1k07s5f8.sousXP\prefs.js] - Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://www.trovi.com/?gd=&ctid=CT3333004&octid=EB_ORIGINAL_CTID&ISID=8D962B11-4F02-4E42-81FF-50F099CED2E8&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SPFEB09140-A38B-4238[...]
[96bbhe0k.sousvista\prefs.js] - Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://www.trovi.com/?gd=&ctid=CT3333004&octid=EB_ORIGINAL_CTID&ISID=8D962B11-4F02-4E42-81FF-50F099CED2E8&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SPFEB09140-A38B-4238[...]



AdwCleaner[R0].txt - [5172 octets] - [12/01/2015 20:07:07]
AdwCleaner[R1].txt - [7144 octets] - [22/01/2015 20:18:24]
AdwCleaner[R2].txt - [1009 octets] - [22/01/2015 20:31:56]
AdwCleaner[R3].txt - [394 octets] - [06/02/2015 12:29:37]
AdwCleaner[R4].txt - [1524 octets] - [06/02/2015 12:37:16]
AdwCleaner[R5].txt - [1315 octets] - [25/02/2015 12:52:53]
AdwCleaner[R6].txt - [5095 octets] - [13/06/2015 17:07:39]
AdwCleaner[S0].txt - [4780 octets] - [12/01/2015 20:08:19]
AdwCleaner[S1].txt - [5318 octets] - [22/01/2015 20:19:22]
AdwCleaner[S2].txt - [1070 octets] - [22/01/2015 20:33:04]
AdwCleaner[S3].txt - [1598 octets] - [06/02/2015 12:38:19]
AdwCleaner[S4].txt - [1380 octets] - [25/02/2015 12:53:54]
AdwCleaner[S5].txt - [4869 octets] - [13/06/2015 17:08:49]

########## EOF - C:\AdwCleaner\AdwCleaner[S5].txt - [4929  octets] ##########

FRST
https://pjjoint.malekal.com/files.php?id=20150613_15z15i11q7g9
Shortcut
https://pjjoint.malekal.com/files.php?id=20150613_r15p6q10t6v10
Additionnal
https://pjjoint.malekal.com/files.php?id=20150613_q7n15b14j6k12

Malekal_morte- · Answer

Rapports corrects. 

Reste quel problème ?

rolandin131 · Answer

Je viens de tester en branchant à nouveau mon Galaxy S4 duquel à partir de son branchement j'ai aperçu ces anomalies, et rien me parait anormal pour l'instant. Est-ce que je dois mettre un anti-virus dans ce téléphone, si oui lequel me recommandes-tu

Malekal_morte- · Answer

ok =)


Voila, c'est terminé, tu peux supprimer les programmes utilisés. 

Quelques conseils : 


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start= 


Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/ 
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

rolandin131 · Answer

OK, merci beaucoup de ton intervention et de ta rapidité à conclure cette infection. Je vais lire tous tes liens de conseils.

Bonne soirée et merci encore

rolandin131 · Answer

Bonjour,
Ce matin je viens de passer Malwarebytes comme habituellement 2 fois par semaine, et voici le résultat, il y a "encore" ce "Trovi" dans 2 profils de Firefox,
Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 15/06/2015
Heure de l'examen: 09:48:57
Fichier journal: MABAM.txt
Administrateur: Oui

Version: 2.01.6.1022
Base de données Malveillants: v2015.06.15.02
Base de données Rootkits: v2015.06.02.01
Licence: Gratuit
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Auto-protection: Désactivé(e)

Système d'exploitation: Windows 8.1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: ROLANDIN

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 375330
Temps écoulé: 25 min, 1 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristique: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(Aucun élément malicieux détecté)

Modules: 0
(Aucun élément malicieux détecté)

Clés du Registre: 0
(Aucun élément malicieux détecté)

Valeurs du Registre: 0
(Aucun élément malicieux détecté)

Données du Registre: 0
(Aucun élément malicieux détecté)

Dossiers: 0
(Aucun élément malicieux détecté)

Fichiers: 2
PUP.Optional.Trovi.C, C:\Users\ROLANDIN\AppData\Roaming\Mozilla\Firefox\Profiles\1k07s5f8.sousXP\prefs.js, Bon: (), Mauvais: (user_pref("browser.search.selectedEngine", "Trovi");), ,[16e869515b2f211595777c083ec8af51]
PUP.Optional.Trovi.C, C:\Users\ROLANDIN\AppData\Roaming\Mozilla\Firefox\Profiles\96bbhe0k.sousvista\prefs.js, Bon: (), Mauvais: (user_pref("browser.search.selectedEngine", "Trovi");), ,[f70712a8632763d3d13b23619373de22]

Secteurs physiques: 0
(Aucun élément malicieux détecté)


(end)

rolandin131 · Answer

Malwarebytes les ayant supprimé, je ne devrais plus revoir (pour quelque temps) ces lignes.

Merci et bonne journée

J'ai 166 menaces trouvées par MABAM

8 réponses

Discussions similaires

Newsletters