Sujet Précédent Sujet Suivant

App Data Roaming

Fermé
Selina - Modifié par Selina le 1/10/2013 à 20:02
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 1 oct. 2013 à 22:29
Bonjour a vous



Depuis quelques jours, à chaque fois que j'allume mon pc, Avast me prévient qu'une page web infectée a été bloquée. A chaque fois c'est toujours le blocage d'une URL malveillante qui est: "cdn.neoupdates.com/update1.exe"
Le processus concerné est: (...)\AppData\Roaming\FreeSoftwareUpdater\updater.exe


Je lance alors un scan complet de mon pc, et a chaque fois le résultat est "Aucune menace détectée".
Je lance aussi CCleaner afin de corriger les erreurs si il y a, et il en a corrigé pas mal de l'App Data, mais ce rapport de Avast persiste.


Quelqu'un pourrait-il m'éclairer sur ce problème, s'il vous plait?

J'ajoute que je suis sous Windows Vista.

Merci d'avance :)
A voir également:

3 réponses

Réponse 1 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
1 oct. 2013 à 20:04
Salut,

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout en faisant un clic droit / cocher tout
puis bouton supprimer sélection pour tout supprimer.

1
Réponse 2 / 3
Selina
Modifié par Selina le 1/10/2013 à 21:00
Tout d'abord je te remercie pour ta réponse rapide et claire.

J'ai téléchargé MalwareByte et voici le rapport (si c'est bien ca dont il s'agit):

------------------------------------------------------


Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.10.01.07

Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
Kéline :: PC-DE-KÉLINE [administrateur]

01/10/2013 20:32:55
mbam-log-2013-10-01 (20-32-55).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 189807
Temps écoulé: 7 minute(s), 33 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 8
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{58124A0B-DC32-4180-9BFF-E0E21AE34026} (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199} (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Conduit\FF (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 3
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{977AE9CC-AF83-45E8-9E03-E2798216E2D5} (PUP.Optional.Iminent.A) -> Données: Ìéz--f¯èEzây'âÕ -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} (PUP.Optional.Iminent.A) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Software updater (PUP.Optional.FreeSoftwareUpdater.A) -> Données: "C:\Users\Kéline\AppData\Roaming\FreeSoftwareUpdater\updater.exe" -h http://neoupdater.com/ -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 3
C:\ProgramData\IBUpdaterService (Adware.InstallBrain) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Kéline\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Kéline\AppData\Roaming\File Scout (PUP.Optional.FileScout.A) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 6
C:\Users\Kéline\AppData\Roaming\File Scout\filescout.exe (PUP.Optional.FileScout.A) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\roboot.exe (PUP.Optional.PCPerformer.A) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\IBUpdaterService\repository.xml (Adware.InstallBrain) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Kéline\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Kéline\AppData\Roaming\FreeSoftwareUpdater\updater.exe (PUP.Optional.FreeSoftwareUpdater.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Kéline\AppData\Roaming\File Scout\uninst.exe (PUP.Optional.FileScout.A) -> Mis en quarantaine et supprimé avec succès.

(fin)


Il me demande de redémarrer l'ordi pour supprimer le reste des menaces.

Babylon et Iminent.... ca ne m'étonne pas j'avais eu un mal fou pour les supprimer. Apparemment ce n'était pas le cas.
Quelque chose me bouffait de la place dans mon disque dur sans que je télécharge quoi que ce soit. C'était ces "logiciels" malveillants qui installaient des trucs à mon insu?
0
Selina
Modifié par Selina le 1/10/2013 à 22:16
D'ailleurs, je viens d'y penser. Je n'ai pas trop compris la fin du tuto sur Malwarebytes... Que faire des infections mises en quarantaine? Faut-il les supprimer, ou elles le sont déjà?
0
Réponse 3 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
1 oct. 2013 à 22:29
Pour le moment rien.



Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



0

Discussions similaires

Qu'est ce que le disque Data (D:)?
dededu4733 -
Acxion -

2 réponses
App explorer Sa sert a quoi ?
Mada_alpha -
SATS_fr -

1 réponse
Verifying DMI Pool Data...
yvon -
Xninof -

110 réponses
[Wifi] agressivité de l'itinérance ??
oliver-14 -
lefidele_men -

3 réponses