Privoxy infecté

Résolu

Kane -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention - 1 déc. 2015 à 23:35

Bonjour,

Comme pas mal internautes, j'ai été infecté par un logiciel malveillant qui diffuse des pop up en continu ainsi que des liens de pub in text sur tout les sites visités.
Cela commence à me rendre fou, j'ai donc cherché des personnes qui ont eu le même problème que moi mais apparemment, les solutions varient d'un problème à l'autre, donc si quelqu'un peu m'aider et être le plus précis possible dans la marche à suivre, ce serait génial.

PS : J'ai tenté de le mettre en quarantaine avec ADWCLEANER, mais après Firefox me dit que les serveur Proxy ne sont plus ou mal configurés, donc obligé de restaurer et rebelotte...

Afficher la suite

A voir également:

Privoxy infecté
Alerte windows ordinateur infecté - Accueil - Arnaque
Privoxy - Télécharger - Divers Web & Internet
L'ordinateur de samantha a ete infecte par un virus - Forum Virus
L'ordinateur de mustapha a été infecté par un virus répertorié récemment ✓ - Forum Virus
Infecté par url blacklist - Forum Virus

7 réponses

Réponse 1 / 7

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Salut,

Supprime les proxys : https://forum.malekal.com/viewtopic.php?t=47404&start=

puis :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

FRST.txt
Shortcut.txt
Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Réponse 2 / 7

Kane

Un grand merci pour ta réponse, voici les 3 rapports :

Addition - FRST - Shortcut

http://pjjoint.malekal.com/files.php?id=20151201_s10w6s12h5l9

http://pjjoint.malekal.com/files.php?id=FRST_20151201_i12r11p9y6x9

http://pjjoint.malekal.com/files.php?id=20151201_m14o815d13w12

Réponse 3 / 7

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Je te conseille de désinstaller McAfee Security Scan, c'est avant tout un programme marketting proposé à l'installation d'Adobe Flash pour tenter de te proposer l'antivirus.

y aussi des restes de McAfee alors que tu as Avast!
Tu devrais utiliser le remover : https://forum.malekal.com/viewtopic.php?t=52580&start=

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

ProxyEnable: [S-1-5-21-852128207-1724380678-2696319681-1001] => Proxy est activé.
ProxyServer: [S-1-5-21-852128207-1724380678-2696319681-1001] => 127.0.0.1:8118 [Pays US - 127.0.0.1]
R2 PrivoxyService; C:\Program Files (x86)\IT Viewer\privoxy.exe [371200 2015-11-30] (The Privoxy team - www.privoxy.org) [Fichier non signé] <==== ATTENTION
2015-11-30 17:55 - 2015-11-30 17:55 - 00000000 ____D C:\Program Files (x86)\IT Viewer
2015-11-04 23:28 - 2015-11-04 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\523C.tmp.exe
2015-11-04 23:28 - 2015-11-04 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\523C.tmp
2015-11-03 23:28 - 2015-11-03 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe
2015-11-03 23:28 - 2015-11-03 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\D2F.tmp
2015-11-02 23:28 - 2015-11-02 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe
2015-11-02 23:28 - 2015-11-02 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\BA76.tmp
2015-11-02 11:28 - 2015-11-02 11:28 - 00000383 _____ C:\ftconfig.ini
2015-11-01 23:28 - 2015-11-01 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe
2015-11-01 23:28 - 2015-11-01 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\4BD9.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe
2015-11-01 18:51 - 2015-11-01 18:51 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\F8E5.tmp
2015-11-01 23:28 - 2015-11-01 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\4BD9.tmp
2015-11-01 23:28 - 2015-11-01 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe
2015-11-04 23:28 - 2015-11-04 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\523C.tmp
2015-11-04 23:28 - 2015-11-04 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\523C.tmp.exe
2015-10-27 01:36 - 2015-10-27 01:36 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\93B9.tmp
2015-10-27 01:37 - 2015-10-27 01:37 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\93B9.tmp.exe
2015-10-29 23:28 - 2015-10-29 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\9627.tmp
2015-10-29 23:28 - 2015-10-29 23:29 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\9627.tmp.exe
2015-11-02 23:28 - 2015-11-02 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\BA76.tmp
2015-11-02 23:28 - 2015-11-02 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe
2015-10-30 23:28 - 2015-10-30 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\BF30.tmp
2015-10-30 23:28 - 2015-10-30 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\BF30.tmp.exe
2015-10-27 23:28 - 2015-10-27 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\C35B.tmp
2015-10-27 23:28 - 2015-10-27 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\C35B.tmp.exe
2015-11-03 23:28 - 2015-11-03 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\D2F.tmp
2015-11-03 23:28 - 2015-11-03 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe
2015-10-29 00:18 - 2015-10-29 00:18 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\E1C6.tmp
2015-10-29 00:18 - 2015-10-29 00:18 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\E1C6.tmp.exe
2015-11-26 23:28 - 2015-11-26 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\F2AA.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\F8E5.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe
Task: {B05BCC29-ABF8-4419-9FB1-87BAE0B11CEF} - System32\Tasks\PC Update Uninstaller => C:\Program Files (x86)\PC Update\PCUpdate.exe [2015-10-22] (Backup Updater) <==== ATTENTION

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=
Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=

Réponse 4 / 7

Kane

J'ai supprimer ce qui restait de McAfee, et la correction à fait redémarrer le pc, et voici le rapport qui en est sorti :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:01-12-2015
Exécuté par Yanis (2015-12-01 22:21:50) Run:1
Exécuté depuis C:\Users\Yanis\Desktop
Profils chargés: Yanis (Profils disponibles: Yanis)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

ProxyEnable: [S-1-5-21-852128207-1724380678-2696319681-1001] => Proxy est activé.
ProxyServer: [S-1-5-21-852128207-1724380678-2696319681-1001] => 127.0.0.1:8118 [Pays US - 127.0.0.1]
R2 PrivoxyService; C:\Program Files (x86)\IT Viewer\privoxy.exe [371200 2015-11-30] (The Privoxy team - www.privoxy.org) [Fichier non signé] <==== ATTENTION
2015-11-30 17:55 - 2015-11-30 17:55 - 00000000 ____D C:\Program Files (x86)\IT Viewer
2015-11-04 23:28 - 2015-11-04 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\523C.tmp.exe
2015-11-04 23:28 - 2015-11-04 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\523C.tmp
2015-11-03 23:28 - 2015-11-03 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe
2015-11-03 23:28 - 2015-11-03 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\D2F.tmp
2015-11-02 23:28 - 2015-11-02 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe
2015-11-02 23:28 - 2015-11-02 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\BA76.tmp
2015-11-02 11:28 - 2015-11-02 11:28 - 00000383 _____ C:\ftconfig.ini
2015-11-01 23:28 - 2015-11-01 23:28 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe
2015-11-01 23:28 - 2015-11-01 23:28 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\4BD9.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 00640512 _____ C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe
2015-11-01 18:51 - 2015-11-01 18:51 - 00000000 _____ C:\Users\Yanis\AppData\Roaming\F8E5.tmp
2015-11-01 23:28 - 2015-11-01 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\4BD9.tmp
2015-11-01 23:28 - 2015-11-01 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe
2015-11-04 23:28 - 2015-11-04 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\523C.tmp
2015-11-04 23:28 - 2015-11-04 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\523C.tmp.exe
2015-10-27 01:36 - 2015-10-27 01:36 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\93B9.tmp
2015-10-27 01:37 - 2015-10-27 01:37 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\93B9.tmp.exe
2015-10-29 23:28 - 2015-10-29 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\9627.tmp
2015-10-29 23:28 - 2015-10-29 23:29 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\9627.tmp.exe
2015-11-02 23:28 - 2015-11-02 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\BA76.tmp
2015-11-02 23:28 - 2015-11-02 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe
2015-10-30 23:28 - 2015-10-30 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\BF30.tmp
2015-10-30 23:28 - 2015-10-30 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\BF30.tmp.exe
2015-10-27 23:28 - 2015-10-27 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\C35B.tmp
2015-10-27 23:28 - 2015-10-27 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\C35B.tmp.exe
2015-11-03 23:28 - 2015-11-03 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\D2F.tmp
2015-11-03 23:28 - 2015-11-03 23:28 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe
2015-10-29 00:18 - 2015-10-29 00:18 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\E1C6.tmp
2015-10-29 00:18 - 2015-10-29 00:18 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\E1C6.tmp.exe
2015-11-26 23:28 - 2015-11-26 23:28 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\F2AA.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 0000000 _____ () C:\Users\Yanis\AppData\Roaming\F8E5.tmp
2015-11-01 18:51 - 2015-11-01 18:51 - 0640512 _____ () C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe
Task: {B05BCC29-ABF8-4419-9FB1-87BAE0B11CEF} - System32\Tasks\PC Update Uninstaller => C:\Program Files (x86)\PC Update\PCUpdate.exe [2015-10-22] (Backup Updater) <==== ATTENTION

HKU\S-1-5-21-852128207-1724380678-2696319681-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => valeur supprimé(es) avec succès
HKU\S-1-5-21-852128207-1724380678-2696319681-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => valeur supprimé(es) avec succès
PrivoxyService => Impossible d'arrêter le service.
PrivoxyService => service supprimé(es) avec succès

"C:\Program Files (x86)\IT Viewer" dossier déplacer:

Impossible de déplacer "C:\Program Files (x86)\IT Viewer" => Planifié pour déplacement au redémarrage.

C:\Users\Yanis\AppData\Roaming\523C.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\523C.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\D2F.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\BA76.tmp => déplacé(es) avec succès
C:\ftconfig.ini => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\4BD9.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\F8E5.tmp => déplacé(es) avec succès
"C:\Users\Yanis\AppData\Roaming\4BD9.tmp" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\4BD9.tmp.exe" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\523C.tmp" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\523C.tmp.exe" => non trouvé(e).
C:\Users\Yanis\AppData\Roaming\93B9.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\93B9.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\9627.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\9627.tmp.exe => déplacé(es) avec succès
"C:\Users\Yanis\AppData\Roaming\BA76.tmp" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\BA76.tmp.exe" => non trouvé(e).
C:\Users\Yanis\AppData\Roaming\BF30.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\BF30.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\C35B.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\C35B.tmp.exe => déplacé(es) avec succès
"C:\Users\Yanis\AppData\Roaming\D2F.tmp" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\D2F.tmp.exe" => non trouvé(e).
C:\Users\Yanis\AppData\Roaming\E1C6.tmp => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\E1C6.tmp.exe => déplacé(es) avec succès
C:\Users\Yanis\AppData\Roaming\F2AA.tmp => déplacé(es) avec succès
"C:\Users\Yanis\AppData\Roaming\F8E5.tmp" => non trouvé(e).
"C:\Users\Yanis\AppData\Roaming\F8E5.tmp.exe" => non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B05BCC29-ABF8-4419-9FB1-87BAE0B11CEF}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B05BCC29-ABF8-4419-9FB1-87BAE0B11CEF}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\PC Update Uninstaller => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PC Update Uninstaller" => clé supprimé(es) avec succès

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2015-12-01 22:24:21)

C:\Program Files (x86)\IT Viewer => a été déplacé(e) avec succès

Fin de Fixlog 22:24:21

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 7

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

C'est mieux ?

Réponse 6 / 7

Kane

Oui, impeccable ! Merci beaucoup !

Par contre, peux tu me dire si je dois re configurer le proxy (puisque je l'avais désactivé) ?

Et que faire des fichiers FRST.txt - Shortcut.txt - Additionnal.txt ?

Et dernière chose, si ce malware devait réapparaître (ce que je n'espère vraiment pas) est ce que la manip que tu m'as indiqué seras toujours valable ?
?

Encore merci

Réponse 7 / 7

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Non tu n'as pas besoin de Proxy, touche à rien.
Tu peux tout supprimer.

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android

Virus détecté

mustapha

infecté par des virus

Virus non détecté par mon anti-virus ?

Fin de Fixlog 22:24:21

Votre réponse

Discussions similaires