Infecté par diverse PUP; trojan et adware [Résolu/Fermé]

Signaler
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
-
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
-
Bonjour,

J'ai de nouveau récupéré un ordinateur à désinfecter et cette fois ce n'est pas qu'un peu.
Le pc affichait des pubs à cause des logiciels installé avast n'arrète pas de lancer des alertes...
Bref j'ai fait un scan avec malwarebytes puis ensuite avec adwcleaner.

Voici le résultat des logiciels:

Scan de MBAM: https://pjjoint.malekal.com/files.php?id=20150321_v14r15z9p15p13

Le rapport d'analyse d'ADWCleaner: https://pjjoint.malekal.com/files.php?id=20150321_n10b15c8m5b8

Enfin le rapport de suppression d'ADWCleaner: https://pjjoint.malekal.com/files.php?id=20150321_o6o6w5k5h8

J'ai passé un coup de ccleaner pour supprimer quelques données inutiles (fichiers temporaires...) et pendant le scan de MBAM; j'ai désinstaller quelques cochonneries trouvé par ce dernier. Pendant que j'ai tappé ce message, il n'y a plus eu de pub; mais avast me signal de temps en temps des adware.gen ou autres joyeusetés.

Merci encore une fois pour l'aide que vous allez apporter et je souhaite encore du courrage à qui se collera à cette désinfection ;)

PS: en attendant une réponse je lance un scan complet avec avast.

11 réponses

Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
Salut,

Pour voir s'il reste des trucs :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Alors pour FRST.txt voici le lien: https://pjjoint.malekal.com/files.php?id=FRST_20150321_y6v15b7f5p15

Pour FRST.txt le lien est: https://pjjoint.malekal.com/files.php?id=20150321_y13s15s11q10k9

Enfin pour FRST.txt tu peux regarder ici: https://pjjoint.malekal.com/files.php?id=20150321_p13r6b14n14x13

Voilà; pour le moment avast en est à 26% mais n'a rien détecté.
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

2015-03-21 19:09 - 2015-03-21 19:09 - 00001946 _____ () C:\Users\Public\Desktop\SW Update.lnk
2015-03-21 17:47 - 2015-03-21 17:47 - 00000000 ____D () C:\Program Files (x86)\MyPC Backup
2015-03-21 13:16 - 2015-03-21 13:17 - 00000000 ____D () C:\ProgramData\12432574668826275089
2015-03-17 22:37 - 2015-03-17 22:37 - 0613255 _____ (CMI Limited) C:\Users\Laurence\AppData\Local\nsi52CD.tmp
2013-06-24 15:53 - 2013-06-24 15:53 - 0000000 _____ () C:\Users\Laurence\AppData\Local\{B86C18A7-6C82-4B3C-9CDC-C44561DE7173}
Task: {878A182B-5770-48D1-AAB8-1D384124F07A} - System32\Tasks\{E811EEAB-696D-43A7-91F3-C3A02716CE89} => pcalua.exe -a C:\Users\Laurence\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=tugs <==== ATTENTION
Task: {E8898BB7-1E7C-4F7E-A2A5-5056A5BD2378} - System32\Tasks\WIN-statsAdmin => C:\Users\Laurence\AppData\Local\Microsoft\WinU\~edyticx.exe <==== ATTENTION

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :


Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Pour les navigateurs; je le fait après avoir posté le rapport de frst.

Voilà le fixlog.txt:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015
Ran by Laurence at 2015-03-22 05:49:02 Run:1
Running from C:\Users\Laurence\Desktop
Loaded Profiles: UpdatusUser & Laurence (Available profiles: UpdatusUser & Laurence)
Boot Mode: Normal
==============================================

Content of fixlist:


*

2015-03-21 19:09 - 2015-03-21 19:09 - 00001946 _____ () C:\Users\Public\Desktop\SW Update.lnk
2015-03-21 17:47 - 2015-03-21 17:47 - 00000000 ____D () C:\Program Files (x86)\MyPC Backup
2015-03-21 13:16 - 2015-03-21 13:17 - 00000000 ____D () C:\ProgramData\12432574668826275089
2015-03-17 22:37 - 2015-03-17 22:37 - 0613255 _____ (CMI Limited) C:\Users\Laurence\AppData\Local\nsi52CD.tmp
2013-06-24 15:53 - 2013-06-24 15:53 - 0000000 _____ () C:\Users\Laurence\AppData\Local\{B86C18A7-6C82-4B3C-9CDC-C44561DE7173}
Task: {878A182B-5770-48D1-AAB8-1D384124F07A} - System32\Tasks\{E811EEAB-696D-43A7-91F3-C3A02716CE89} => pcalua.exe -a C:\Users\Laurence\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=tugs <==== ATTENTION
Task: {E8898BB7-1E7C-4F7E-A2A5-5056A5BD2378} - System32\Tasks\WIN-statsAdmin => C:\Users\Laurence\AppData\Local\Microsoft\WinU\~edyticx.exe <==== ATTENTION


*


C:\Users\Public\Desktop\SW Update.lnk => Moved successfully.
C:\Program Files (x86)\MyPC Backup => Moved successfully.
C:\ProgramData\12432574668826275089 => Moved successfully.
C:\Users\Laurence\AppData\Local\nsi52CD.tmp => Moved successfully.
C:\Users\Laurence\AppData\Local\{B86C18A7-6C82-4B3C-9CDC-C44561DE7173} => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{878A182B-5770-48D1-AAB8-1D384124F07A}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{878A182B-5770-48D1-AAB8-1D384124F07A}" => Key deleted successfully.
C:\Windows\System32\Tasks\{E811EEAB-696D-43A7-91F3-C3A02716CE89} => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E811EEAB-696D-43A7-91F3-C3A02716CE89}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E8898BB7-1E7C-4F7E-A2A5-5056A5BD2378}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E8898BB7-1E7C-4F7E-A2A5-5056A5BD2378}" => Key deleted successfully.
C:\Windows\System32\Tasks\WIN-statsAdmin => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WIN-statsAdmin" => Key deleted successfully.

End of Fixlog 05:49:04

Edit: Le scan avec avast n'avait détecté qu'un seul truc qui se trouvait dans le dossier quarantaine de ADWCleaner ;)
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
réinitialise les navigateurs WEB et vois ce que cela donne.
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Je ne comprends pas, j'ai réinitialiser IE; réinstallé , avec suppression des données et réinitialisé de google chrome. Désactivé quasiment tout les modules dans IE et supprimer ce que je ne connaissait pas sous google chrome; pourtant en cliquant sur nettoyage des navigateurs dans Avast, il a trouvé ask updater qui n'apparaît nul part (ni dans les navigateurs; ni dans ajout/suppression de windows).
Après un nouveau scan de MBAM mis à jour; rien n'est trouvé avec ce dernier. Il me reste donc à conclure qu'il devait y avoir un reste de ask quelque part de ce "faux moteur de recherche" mais pas réellement installé.

Avast n'a plus rien mis en quarantaine depuis hier 13h00... Donc je peux dire que ça va déjà nettement mieux que quand j'ai récupéré l'ordinateur. Il n'y a plus de page de pub qui apparaissent depuis hier dans l'après-midi.
zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Je viens de désinstallé Avast et de le réinstallé; le problème persiste. Au moment ou la connexion entre le portable et mon routeur est effectué il y a l'alerte de connexion au site:

23.03.2015 10:08:47 Network Shield: blocked access to malicious site http://blackfight.info/3131/TerminusSubs_142244355059079.dll ([37.48.117.50]:80) [ C:\Windows\System32\svchost.exe ( 536 ) ]
23.03.2015 10:08:47 Network Shield: blocked access to malicious site http://blackfight.info/3131/TerminusSubs_142244355059079.dll ([37.48.117.50]:80) [ C:\Windows\System32\svchost.exe ( 536 ) ]

Donc le problème n'est peut être pas au niveau d'avast; ou alors un fichier qui n'est pas supprimer quand on désinstalle Avast via l'utilitaire de désinstallation: avastclear télécharger ici même sur CCM...
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
Ce dont je suis certains, c'est que le PC est propre et que ces alertes, souvent Avast! fument, en général, désinstaller/réinstaller l'antivirus fait qu'elles s'arretent.
zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Et bien la ce n'est pas le cas la désinstallation et la réinstallation n' a rien changé...
Du coup je tente une analyse online en ce moment avec ESET online scanner (il a pour le moment détecter des restes de ce que malwarebytes à trouvé et ou qui était installé dans windows:
http://www.hostingpics.net/viewer.php?id=449758Eset.png
http://hpics.li/20b3404
Les 2 liens sont en fait la même image pris à l'instant du scan qui n'est pas encore fini. On verra le résultat final...
zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Tient une chose étrange et pas normal; le pc infecté à tenté de se loguer dans mon routeur 2 fois dans la matinée et ce moins d'une minute après la connexion au réseau, la première fois à 8h40 quand j'ai rallumé ce pc et la deuxième fois à 10h09 quand j'ai branché le câble ethernet après avoir réinstallé avast.
Ce n'est pas moi qui ai tenté cette identification justement car le pc n'est pas sûr et je suis tout seul chez moi. Donc il y a bien quelque chose dans le pc.
Et maintenant que j'y repense, j'avais déjà remarqué une tentative d'identification sur mon routeur hier soir avant d'éteindre les PC et mon modem-routeur personnel...
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
On va voir ce que va dire le scan NOD32.
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Le scan d'ESET n'a rien donné ce qui est trouvé était dans les dossiers de quarantaine d'ADWcleaner et de FRST
http://hpics.li/d7545c6
http://www.hostingpics.net/viewer.php?id=186007rapportESET.png

Ce qui est étrange c'est qu'Avast ne détecte réellement rien sauf quand il y a le pc qui se connecte à internet. C'est pareil au niveau de mon routeur; rien de nouveau au niveau des logs; pas de nouvelles tentative de connexion de la part du portable...

Edit: je viens de déconnecter le câble Ethernet puis rebranché et de nouveau Avast m'a de nouveau afficher une alerte toujours vers la même IP. Par contre sur mon routeur je n'ai pas eu d'autres alertes; mais c'est à cause de mon ordinateur qui actualisait les logs toutes les 10 secondes; donc restait connecter au routeur empêchant les autres ordinateurs d'essayer de s'identifier.
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
Je te l'ai dit pour moi c'est Avast! qui fume =)
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
OK c'est toi l'expert et je laisse tranquillement avast fumer ;)
Merci pour l'aide. Je suppose donc que je peux tout supprimer (adwcleaner et frst ainsi que les logs)?
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
oui,

Essaye de désactiver les protections Avast! pendant 1H.

Fais un nettoyage des disques - paragraphe "Nettoyage de Disque : supprimer les fichiers temporaires, cache internet etc."
=> http://www.malekal.com/2011/09/04/comment-liberer-de-lespace-disque/


Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :



Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
J'avais passer ccleaner après une désinstallation et avant la réinstallation d'avast; mais j'ai quand même eu des alertes... Par contre j'avais oublié de décocher la case qui garde les fichiers temporaires de windows de moins de 24h :(

Du coup j'ai viré Avast hier soir et j'ai mis antivir/avira à la place. Mais je peux m'amusé à remettre Avast pour voir ce que ça donne ;)
D'ailleur je l'ai fait et il semblerai qu'Avast ne lance plus d'alerte... Ouf ;)

Il me reste plus qu'à désinstaller les logiciels et de faire lire ça aux propriétaires.
Merci encore une fois pour l'aide et fini bien la semaine ;)
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
C'est toi qui vois.
Regarde là : https://forum.malekal.com/viewtopic.php?t=51186&start=#p395087

Lui n'a plus eu d'alerte après désinstallation/réinstallation.
zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Désolé, je n'avais pas vue ta réponse.

Comme je l'ai dit dans ma dernière réponse, j'avais viré Avast pour Avira; mais j'ai finalement remis Avast en ayant bien viré trous les fichiers temporaire et plus d'alerte de la part d'Avast.
C'était bien un problème dans les fichiers temporaires car malgré 2 ou 3 désinstallation et réinstallation d'Avast, j'avais les alertes qui revenaient. Par contre depuis que j'ai viré les fichiers temporaires avec CCleaner en décochant la case qui stipule "effacer uniquement les les fichiers temporaires de Windows datant de plus de 24 heures"; il n'y a plus d'alerte.
Pour info les sites qui sont bloqués dans l'image fourni par phil1366 sur ton forum correspondent à peu près aux alertes que j'avais.
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
soit =)

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :



Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html