Sujet Précédent Sujet Suivant

Privoxy infecté

Résolu/Fermé
Kane - Modifié par Kane le 1/12/2015 à 19:13
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 1 déc. 2015 à 23:35
Bonjour,

Comme pas mal internautes, j'ai été infecté par un logiciel malveillant qui diffuse des pop up en continu ainsi que des liens de pub in text sur tout les sites visités.
Cela commence à me rendre fou, j'ai donc cherché des personnes qui ont eu le même problème que moi mais apparemment, les solutions varient d'un problème à l'autre, donc si quelqu'un peu m'aider et être le plus précis possible dans la marche à suivre, ce serait génial.

PS : J'ai tenté de le mettre en quarantaine avec ADWCLEANER, mais après Firefox me dit que les serveur Proxy ne sont plus ou mal configurés, donc obligé de restaurer et rebelotte...

7 réponses

Réponse 1 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
1 déc. 2015 à 21:07
Salut,

Supprime les proxys : https://forum.malekal.com/viewtopic.php?t=47404&start=

puis :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Réponse 2 / 7
Kane
1 déc. 2015 à 21:36
Un grand merci pour ta réponse, voici les 3 rapports :

Addition - FRST - Shortcut

http://pjjoint.malekal.com/files.php?id=20151201_s10w6s12h5l9

http://pjjoint.malekal.com/files.php?id=FRST_20151201_i12r11p9y6x9

http://pjjoint.malekal.com/files.php?id=20151201_m14o815d13w12
0
Réponse 3 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
1 déc. 2015 à 22:09
Je te conseille de désinstaller McAfee Security Scan, c'est avant tout un programme marketting proposé à l'installation d'Adobe Flash pour tenter de te proposer l'antivirus.

y aussi des restes de McAfee alors que tu as Avast!
Tu devrais utiliser le remover : https://forum.malekal.com/viewtopic.php?t=52580&start=


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


ProxyEnable: [S-1-5-21-852128207-1724380678-2696319681-1001] => Proxy est activé.
ProxyServer: [S-1-5-21-852128207-1724380678-2696319681-1001] => 127.0.0.1:8118 [Pays US - 127.0.0.1]
R2 PrivoxyService; C:\Program Files (x86)\IT Viewer\privoxy.exe [371200 2015-11-30] (The Privoxy team - www.privoxy.org) [Fichier non signé] <==== ATTENTION
2015-11-30 17:55 - 2015-11-30 17:55 - 00000000 ____D C:\Program Files (x86)\IT Viewer
2015-11-04 23:28 - 2015-11-04 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\523C.tmp.exe
2015-11-04 23:28 - 2015-11-04 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\523C.tmp
2015-11-03 23:28 - 2015-11-03 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe
2015-11-03 23:28 - 2015-11-03 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\D2F.tmp
2015-11-02 23:28 - 2015-11-02 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe
2015-11-02 23:28 - 2015-11-02 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\BA76.tmp
2015-11-02 11:28 - 2015-11-02 11:28 - 00000383 _____ C:\ftconfig.ini
2015-11-01 23:28 - 2015-11-01 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe
2015-11-01 23:28 - 2015-11-01 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\4BD9.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe
2015-11-01 18:51 - 2015-11-01 18:51 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\F8E5.tmp
2015-11-01 23:28 - 2015-11-01 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\4BD9.tmp
2015-11-01 23:28 - 2015-11-01 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe
2015-11-04 23:28 - 2015-11-04 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\523C.tmp
2015-11-04 23:28 - 2015-11-04 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\523C.tmp.exe
2015-10-27 01:36 - 2015-10-27 01:36 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\93B9.tmp
2015-10-27 01:37 - 2015-10-27 01:37 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\93B9.tmp.exe
2015-10-29 23:28 - 2015-10-29 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\9627.tmp
2015-10-29 23:28 - 2015-10-29 23:29 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\9627.tmp.exe
2015-11-02 23:28 - 2015-11-02 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\BA76.tmp
2015-11-02 23:28 - 2015-11-02 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe
2015-10-30 23:28 - 2015-10-30 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\BF30.tmp
2015-10-30 23:28 - 2015-10-30 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\BF30.tmp.exe
2015-10-27 23:28 - 2015-10-27 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\C35B.tmp
2015-10-27 23:28 - 2015-10-27 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\C35B.tmp.exe
2015-11-03 23:28 - 2015-11-03 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\D2F.tmp
2015-11-03 23:28 - 2015-11-03 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe
2015-10-29 00:18 - 2015-10-29 00:18 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\E1C6.tmp
2015-10-29 00:18 - 2015-10-29 00:18 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\E1C6.tmp.exe
2015-11-26 23:28 - 2015-11-26 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\F2AA.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\F8E5.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe
Task: {B05BCC29-ABF8-4419-9FB1-87BAE0B11CEF} - System32\Tasks\PC Update Uninstaller => C:\Program Files (x86)\PC Update\PCUpdate.exe [2015-10-22] (Backup Updater) <==== ATTENTION


Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :


0
Réponse 4 / 7
Kane
1 déc. 2015 à 22:28
J'ai supprimer ce qui restait de McAfee, et la correction à fait redémarrer le pc, et voici le rapport qui en est sorti :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:01-12-2015
Exécuté par Yanis (2015-12-01 22:21:50) Run:1
Exécuté depuis C:\Users\Yanis\Desktop
Profils chargés: Yanis (Profils disponibles: Yanis)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


ProxyEnable: [S-1-5-21-852128207-1724380678-2696319681-1001] => Proxy est activé.
ProxyServer: [S-1-5-21-852128207-1724380678-2696319681-1001] => 127.0.0.1:8118 [Pays US - 127.0.0.1]
R2 PrivoxyService; C:\Program Files (x86)\IT Viewer\privoxy.exe [371200 2015-11-30] (The Privoxy team - www.privoxy.org) [Fichier non signé] <==== ATTENTION
2015-11-30 17:55 - 2015-11-30 17:55 - 00000000 ____D C:\Program Files (x86)\IT Viewer
2015-11-04 23:28 - 2015-11-04 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\523C.tmp.exe
2015-11-04 23:28 - 2015-11-04 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\523C.tmp
2015-11-03 23:28 - 2015-11-03 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe
2015-11-03 23:28 - 2015-11-03 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\D2F.tmp
2015-11-02 23:28 - 2015-11-02 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe
2015-11-02 23:28 - 2015-11-02 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\BA76.tmp
2015-11-02 11:28 - 2015-11-02 11:28 - 00000383 _____ C:\ftconfig.ini
2015-11-01 23:28 - 2015-11-01 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe
2015-11-01 23:28 - 2015-11-01 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\4BD9.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe
2015-11-01 18:51 - 2015-11-01 18:51 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\F8E5.tmp
2015-11-01 23:28 - 2015-11-01 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\4BD9.tmp
2015-11-01 23:28 - 2015-11-01 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe
2015-11-04 23:28 - 2015-11-04 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\523C.tmp
2015-11-04 23:28 - 2015-11-04 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\523C.tmp.exe
2015-10-27 01:36 - 2015-10-27 01:36 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\93B9.tmp
2015-10-27 01:37 - 2015-10-27 01:37 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\93B9.tmp.exe
2015-10-29 23:28 - 2015-10-29 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\9627.tmp
2015-10-29 23:28 - 2015-10-29 23:29 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\9627.tmp.exe
2015-11-02 23:28 - 2015-11-02 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\BA76.tmp
2015-11-02 23:28 - 2015-11-02 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe
2015-10-30 23:28 - 2015-10-30 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\BF30.tmp
2015-10-30 23:28 - 2015-10-30 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\BF30.tmp.exe
2015-10-27 23:28 - 2015-10-27 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\C35B.tmp
2015-10-27 23:28 - 2015-10-27 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\C35B.tmp.exe
2015-11-03 23:28 - 2015-11-03 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\D2F.tmp
2015-11-03 23:28 - 2015-11-03 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe
2015-10-29 00:18 - 2015-10-29 00:18 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\E1C6.tmp
2015-10-29 00:18 - 2015-10-29 00:18 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\E1C6.tmp.exe
2015-11-26 23:28 - 2015-11-26 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\F2AA.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\F8E5.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe
Task: {B05BCC29-ABF8-4419-9FB1-87BAE0B11CEF} - System32\Tasks\PC Update Uninstaller => C:\Program Files (x86)\PC Update\PCUpdate.exe [2015-10-22] (Backup Updater) <==== ATTENTION


HKU\S-1-5-21-852128207-1724380678-2696319681-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => valeur supprimé(es) avec succès
HKU\S-1-5-21-852128207-1724380678-2696319681-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => valeur supprimé(es) avec succès
PrivoxyService => Impossible d'arrêter le service.
PrivoxyService => service supprimé(es) avec succès

"C:\Program Files (x86)\IT Viewer" dossier déplacer:

Impossible de déplacer "C:\Program Files (x86)\IT Viewer" => Planifié pour déplacement au redémarrage.

C:\Users\Yanis\AppData\Roaming\523C.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\523C.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\D2F.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\BA76.tmp => déplacé(es) avec succès
C:\ftconfig.ini => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\4BD9.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\F8E5.tmp => déplacé(es) avec succès
"C:\Users\Yanis\AppData\Roaming\4BD9.tmp" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\523C.tmp" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\523C.tmp.exe" => non trouvé(e).
C:\Users\Yanis\AppData\Roaming\93B9.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\93B9.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\9627.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\9627.tmp.exe => déplacé(es) avec succès
"C:\Users\Yanis\AppData\Roaming\BA76.tmp" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe" => non trouvé(e).
C:\Users\Yanis\AppData\Roaming\BF30.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\BF30.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\C35B.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\C35B.tmp.exe => déplacé(es) avec succès
"C:\Users\Yanis\AppData\Roaming\D2F.tmp" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe" => non trouvé(e).
C:\Users\Yanis\AppData\Roaming\E1C6.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\E1C6.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\F2AA.tmp => déplacé(es) avec succès
"C:\Users\Yanis\AppData\Roaming\F8E5.tmp" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe" => non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B05BCC29-ABF8-4419-9FB1-87BAE0B11CEF}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B05BCC29-ABF8-4419-9FB1-87BAE0B11CEF}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\PC Update Uninstaller => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PC Update Uninstaller" => clé supprimé(es) avec succès

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2015-12-01 22:24:21)

C:\Program Files (x86)\IT Viewer => a été déplacé(e) avec succès

Fin de Fixlog 22:24:21

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
1 déc. 2015 à 23:24
C'est mieux ?
0
Réponse 6 / 7
Kane
1 déc. 2015 à 23:34
Oui, impeccable ! Merci beaucoup !

Par contre, peux tu me dire si je dois re configurer le proxy (puisque je l'avais désactivé) ?

Et que faire des fichiers FRST.txt - Shortcut.txt - Additionnal.txt ?

Et dernière chose, si ce malware devait réapparaître (ce que je n'espère vraiment pas) est ce que la manip que tu m'as indiqué seras toujours valable ?
?

Encore merci
0
Réponse 7 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
1 déc. 2015 à 23:35
Non tu n'as pas besoin de Proxy, touche à rien.
Tu peux tout supprimer.

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html



0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Virus détecté
Koony -
MisteryBean -

6 réponses
y a t'il des virus qu'avast ne detecte pas
davivid -
Utilisateur anonyme -

24 réponses
Mon ordinateur a été infecté par un virus ou
henry4002 -
jorginho67 -

6 réponses
Privoxy et Squid : Ils vont bien ensemble ?
Alternative Attitude -
Namreh25 -

3 réponses