ignare

Bonjour, Je suis le créateur et unique gestionnaire du site web d'une société d'observation de la nature, site qui est probablement piraté ("hacked"). Le site est abrité chez un fournisseur externe. Donc, je pense que je suis ou ai été la porte d'entrée à ce piratage. J'ai fait une analyse complète de mon PC avec McAfee qui n'a rien trouvé, cependant je crains que je sois tout de même infecté et, qu'à chaque fois que je retourne dans le site pour essayer de corriger le problème je le contamine. Pouvez-vous me conseiller sur une méthode qui me permettrait de savoir plus sûrement si mon PC est infecté et, si oui, comment le soigner? Je vous remercie à l'avance.

Bonjour Nardino, J'ai lu attentivement tous les conseils fournis et je me rends compte que je les suis respectueusement, si ce n'est que je ne mets pas à jour ma suite Microsoft Office. Pour ce qui est des logiciels de protection et de diagnostique, j'ai McAfee Security Center et JRT, ZHPDiag et ZHPFix; ces trois derniers ayant été recommandé par Bernard53 de votre équipe. J'avais envoyé avec le premier message de cette série (le 21 septembre) les rapports de JRT et ZHPDiag. Je les ai encore et peut donc vous les renvoyer si nécessaire. Comme déjà indiqué, ZHPFix semble bien me débarrasser de MySearchSweetPacks.com, mais cette nuisance réapparaît dès que je me reconnecte à Chrome (voir message du 21 septembre). Après la deuxième infection et la suppression de MySearchSweetPacks.com, j'avais réinitialisé Google Chrome (sur les conseils de Bernard53) sans pour autant le désinstaller. J'espère vous avoir donné assez d'informations. @+

Bonjour Nardino, Je suis navré de vous répondre si tardivement. J'avais bien vu votre réponse, mais tard le soir et j'avais eu la flemme d'y donner suite immédiatement; puis des travaux extérieurs m'ont tenu loin de mon ordinateur. Je vais lire tous les conseils que vous me donnez et je verrai ce que je pourrai en tirer pour me débarrasser définitivement de ce mysearch.sweetpacks.com. Donc, je donnerai suite à cette réponse le plus tôt possible. @+

Bonjour, On se croirait dans le film "Le jour de la marmotte" ... En effet, je suis infecté une troisième fois par mysearch.sweetpacks.com. Pour me débarrasser de la seconde infection de ce malware, j'ai suivi les conseils de Bernard53 soit d'exécuter JRT, puis ZHPDiag et ensuite, avec le script fourni par Bernard53, ZHPFix. Pour terminer, j'ai réinitialisé Google Chrome (ou ce que je pensais être Chrome !). Aujourd'hui, en ouvrant Google Chrome, j'ai un message me disant que je ne suis pas connecté à Chrome; je me connecte et au lancement suivant de Google Chrome, mysearch.sweetpacks.com est de retour pour la troisième fois. Donc contrairement à ce que je pensais lors de la deuxième infection, elle n'était pas due (enfin je pense) à l'installation de Yahoo Toolbar, mais à la connexion à Google Chrome que j'avais faite aussi alors. J'ai repris les opérations préconisées par Bernard53 et voici les résultats: Le lien vers le rapport JRT: http://cjoint.com/?3IvulhIKjr4 Le lien vers le rapport ZHPdiag: http://cjoint.com/?3IvumLTkt75 Donc, j'aimerais bien avoir le script pour ZHPFix et surtout, dans un second temps, avoir un conseil pour que ce malware ne se réinstalle plus.

Bonjour Bernard53, Tout marche parfaitement. Merci encore de vos conseils.

Bonjour Bernard53, J'ai suivi votre conseil. Après l'exécution de ZHPFix, à l'ouverture de Google Chrome, 3 onglets Google étaient présents. Puis après fermé puis réouvert Google Chrome, l'onglet avec mysearch.sweetpacks.com était à nouveau là. J'ai refait une exécution de ZHPFix sans malheureusement conserver le premier rapport (je pensais que le second passage créerait un ZHPFixreport(1).txt), donc mon premier rapport a été écrasé. Il disait essentiellement que la barre Yahoo Toolbar avait été supprimée. Voici le rapport du deuxième passage de ZHPFix: Rapport de ZHPFix 2013.9.19.8 par Nicolas Coolman, Update du 19/09/2013 Fichier d'export Registre : Run by Ducrot at 2013-09-20 09:15:59 High Elevated Privileges : OK Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601) Corbeille vidée ========== Clés du Registre ========== ERREUR: Service Legacy: LEGACY_ESGIGUARD ========== Valeurs du Registre ========== ABSENT Valeur Standard Profile: FirewallRaz : ABSENT Valeur Domain Profile: FirewallRaz : ========== Préférences navigateur ========== PRESENT Chrome File: C:\Users\Ducrot\AppData\Local\Google\Chrome\User Data\Default\Preferences SUPPRIMÉ Chrome Site: http://mysearch.sweetpacks.com SUPPRIMÉ Chrome Site: http://mysearch.sweetpacks.com SUPPRIMÉ Chrome Site: http://mysearch.sweetpacks.com ========== Dossiers ========== SUPPRIME Flash Cookies SUPPRIME Temporaires Windows ========== Fichiers ========== SUPPRIME Flash Cookies SUPPRIME Temporaires Windows ========== Restauration Système ========== Point de restauration du système créé avec succès ========== Récapitulatif ========== 1 : Clés du Registre 2 : Valeurs du Registre 2 : Dossiers 2 : Fichiers 4 : Préférences navigateur 1 : Restauration Système End of clean in 00mn 07s ========== Chemin de fichier rapport ========== C:\ZHP\ZHPFix[R1].txt - 2013-09-20 08:12:20 [2930] C:\ZHP\ZHPFix[R2].txt - 2013-09-20 09:16:00 [1364] Malheureusement, après ce deuxième passage, même si cette fois le lancement de mysearch.sweetpacks.com semble avoir été supprimé par ZHPFix, celui-ci se fait encore dès la seconde entrée dans Google Chrome. Devrais-je procéder à la réinitialisation de mes navigateurs et du moteur de recherche, ou y-a-t-il autre chose à faire avant? Pour être bien honnête, je ne distingue pas bien la différence entre navigateur et moteur de recherche.

Bonsoir, J'avais imputé ma première infection à l'installation de wampserver (voir le sujet Infecté par mysearch.sweetpacks.com) mais il semblerait plutôt qu'elle soit due à l'installation de Yahoo Toolbar qu'un utilisateur de mon ordi a remis. Toujours est-il que j'ai à nouveau mysearch.sweetpacks.com qui vient en premier onglet avec Google Chrome. J'ai appliqué la solution de Bernard53 jusqu'au scan par ZHPdiag. Voici le lien vers le rapport de JRT: http://cjoint.com/?3Itw0QgRT2A et le lien vers le rapport ZHPDiag: http://cjoint.com/?3Itw2hKhkFb Étant donné que je n'ai pas d'autres tentatives préalables de suppression de ce malware, je n'ai pas tout à fait le même résultat ZHPDiag que la première fois. Comment puis-je produire un script pour ZHPFix à partir du résultat obtenu avec ZHPDiag? Je suis vraiment navré de cette récidive.

Bonsoir Bernard53, Merci beaucoup pour votre aide généreuse.

Bonsoir Bernard53, À l'usage, j'ai vu que Importer dans ZHPfix chargeait le contenu du tampon, donc le contenu de votre fichier. Le nettoyage m'a donné quelques sueurs froides, ne sachant pas si je devais accepter ou non les propositions de désinstaller Windows Installer par exemple. Finalement, tout semble s'être bien passé. Voici le lien vers le rapport de ZHPfix: http://cjoint.com/?3Iqx7V1cazC En entrant dans Chrome, je n'ai plus l'onglet mysearch.sweetpacks.com et j'ai vu dans le rapport que bien d'autres impuretés étaient parties. Si l'examen du rapport vous satisfait, j'imagine que je peux désinstaller les logiciels de nettoyage que vous m'avez conseillés, n'est-ce-pas? Merci encore de votre patience et bonne soirée

Bonjour Bernard53, Excusez-moi mais je ne suis pas sûr de bien comprendre ce que j'ai à faire. Est-ce que je dois copier le contenu du fichier ZHPdiag.txt dans le fichier Rapport ZHP.txt que vous m'avez envoyé? Si oui où, dans ce fichier, à la fin?, ... Est-ce que je dois remplacer le contenu du fichier ZHPdiag.txt par celui du fichier Rapport ZHP.txt que vous m'avez envoyé? Je n'ose pas faire de tentatives de peur d'empirer la situation. Bonne journée Ignare (qui tâche d'apprendre)

Bonjour Bernard53, Merci de votre réponse, Mon pseudo d'ignare n'est pas choisi pour rien. Quand vous parlez de copier tout le texte présent, j'imagine que vous faites allusion au contenu du fichier ZHPdiag.txt?

Bonjour Godlike La Mayenne, Tout d'abord, merci pour votre rapide réponse. Voici le lien vers le rapport JRT: http://cjoint.com/?3IoukpjmTID Et le lien vers le rapport ZHPdiag: http://cjoint.com/?3IousNAdzEJ (L'installation de ZHP a bien créé les icônes pour ZHPdiag et ZHPfix mais n'a pas créé MBRcheck). Bonne fin de semaine.

Bonjour à la communauté, Après avoir installé Wampserver, j'ai été infecté par mysearch.sweetpacks.com. Pour me débarrasser de cette cochonnerie, j'ai suivi les conseils trouvés à cette adresse: http://www.2-removevirus.com/fr/supprimer-sweetpacks/. L'outil de nettoyage s'avère être SpyHunter. Après un scan, 64 défauts ont été trouvés qui pouvaient être nettoyés si j'achetait la version complète de cet utilitaire. Ne le voulant pas, je suis sortie du logiciel. Puis je l'ai désinstallé. Cependant, je ne serais pas étonné qu'il traîne encore sur ma machine car en la fermant hier, un écran de SpyHunter est apparu que j'ai fermé, puis un message m'a dit que SpyHunter bloquait la fermeture de Windows 7, qui s'est faite malgré tout. Après l'épisode SpyHunter, j'ai suivi les conseils trouvés à cette adresse:http://malwaretips.com/blogs/remove-sweetpacks-toolbar/. Après les premières étapes, je n'ai plus eu de problème avec IE mais par contre le problème persistait avec Google Chrome. À la suite du passage de AdwCleaner, Malwarebytes (un quick scan seulement) puis HitmanPro, quelques AdWares et Malwares ont été supprimés mais le problème reste entier avec Google Chrome (trois onglets sont ouverts: un premier avec mysearch.sweetpacks.com comme adresse, un second avec https://www.google.ca/ et le troisième avec https://www.google.ca/?gws_rd=cr&ei=ADkzUuGaJujB4APiuIGYBw . J'ai ensuite désinstallé ces utilitaires. En faisant une recherche sur ce forum zebulon, j'ai vu les sujets résolus QC06 et AdwCleaner avec Devil Member comme consultant. J'ai vu dans ces sujets des similitudes avec mon infection. Dans un sujet portant sur un problème d'infection de Google Chrome, j'ai vu aussi de vérifier l'infection des raccourcis avec Shorcut Cleaner. Le passage de cet outil n'a révélé aucune contamination des raccourcis. Donc, j'aimerais bien être dépanné pour continuer ce travail de nettoyage. Merci

Bonjour, Mon ordinateur Dell portable XPS M1530R fonctionne avec Vista édition familiale premium. Il est protégé par McAfee Security Center et mon browser par défaut était IE (Internet Explorer) 9. J'ai commencé à avoir des messages me disant que McAfee Security Center avait cessé de fonctionner. Ce message apparaissait à de multiples reprises. Avec ce message, j'en avais un concernant IE qui disait avoir aussi cessé de fonctionner; ce dernier message s'accompagnant de fenêtres disant : "L'exception unknown softwar exception (0x.....) s'est produite dans l'application à l'emplacement 0x.... Cliquez sur OK pour terminer ce programme." ou " L'instruction à 0x..... emploie l'adresse mémoire 0x...... La mémoire ne peut pas être en état 'read'" ou "L'exception Instruction privilégiée (0x...) s'est produite dans l'application 0x....". J'ai mis Google Chrome comme browser par défaut. J'ai désinstallé McAfee Security Center avec l'outil MCPR de McAfee. J'ai essayé sans succès de réinstaller McAfee. J'ai installé Commodo Internet Service et scanné l'ordinateur. Plusieurs chevaux de Troie, malwares etc. ont été détectés et retirés. IE 9 ne fonctionnait toujours pas. J'ai désinstallé la version 9, ce qui a replacé la version 8 de IE qui alors a bien fonctionné, Google Chrome restant le browser par défaut. Comme ma souscription à McAfee est valable jusqu'en décembre 2013, j'ai désinstallé Comodo et réinstallé MCAfee, cette fois avec succès. Deux jours ont passé sans aucun problème et tout est revenu: McAfee a cessé de fonctionner ainsi que IE. Persuadé que mon appareil était encore infecté, j’ai communiqué avec le forum Zebulon Sécurité > Analyses et éradication malwares. Grâce à leurs bons conseils, j’ai pu en plusieurs étapes m’assurer que l’ordinateur n’était pas infecté. Pourtant, IE ne fonctionnait toujours pas ni un logiciel anti-malwares installé à demande du forum Sécurité. J'ai réalisé que IE 9 était redevenu la version courante de IE; c'est sans doute lors d'une mise à jour de Vista que IE 9 a remplacé IE 8. Donc, sur la liste des mises-à-jour, j'ai demandé à désinstaller IE9, ce qui ramène IE 8. Et ... IE 8 fonctionne sans problème ainsi que le logiciel anti-malwares. L'examen total de l'ordinateur n'a rien révélé; confirmant la non-infection de ma machine. J’ai réinstallé McAfee sans problème. Cependant, des questions sont soulevées: IE 9 a déjà fonctionné sur cette machine avec Vista comme OS. Comment se fait-il qu'elle ne fonctionne plus mais que IE 8 fonctionne? Mon browser par défaut est Google Chrome. Si le logiciel anti-malwares a besoin d'une liaison internet pour se mettre à jour, comment se fait-il qu'il faut avoir un IE fonctionnel pour ce faire et que Chrome ne soit pas utilisé? Même question avec la réinstallation de McAfee Security Center. Comment bloquer la mise à jour de IE8 à IE9 mais conserver automatiques les autres mises à jour de Vista? Merci à l'avance de votre aide.

Bonsoir Apollo, Merci beaucoup pour toutes les informations, conseils fournis. J'ai très apprécié votre disponibilité. Grâce à vous, je suis un peu moins "ignare".

J'ai réalisé que IE 9 était redevenu la version courante de IE; c'est sans doute lors d'une mise à jour de Vista que IE 9 a remplacé IE 8. Donc, sur la liste des mises-à-jour, j'ai demandé à désinstaller IE9, ce qui ramène IE 8. Et ... IE 8 fonctionne sans problème et miracle MBAM aussi. L'examen total de l'ordinateur n'a rien révélé; ce qui confirme l'opinion d'Apollo que ma machine n'est plus infectée. Je vais réinstaller McAfee pour ne pas avoir payé pour rien. Cependant, des questions sont soulevées: IE 9 a déjà fonctionné sur cette machine avec Vista comme OS. Comment se fait-il qu'elle ne fonctionne plus mais que IE 8 fonctionne? Mon browser par défaut est Google Chrome. Si MBAM a besoin d'une liaison internet pour se mettre à jour, comment se fait-il qu'il faut avoir un IE fonctionnel pour ce faire et que Chrome ne soit pas utilisé? Même question avec la réinstallation de McAfee Security Center. Comment bloquer la mise à jour de IE8 à IE9 et conserver automatiques les autres mises à jour de Vista? Si ces questions sont à diriger vers un autre forum de Zébulon, veuillez me le signaler.

Tout d'abord, merci au modérateur de m'avoir expliqué comment marquer comme Résolu un sujet. Ensuite, comme indiqué précédemment, j'ai désinstallé puis réinstallé MBAM. Comme je m'y attendais, ce dernier ne fonctionne toujours pas. Dès le lancement; une fenêtre indique que MBAM a cessé de fonctionner et que Windows va chercher une solution qui ne vient jamais donc il faut fermer le programme. Comme IE se comporte aussi comme ça, je vais voir si je peux remettre en fonction IE.

Je n'ai pas trouvé comment fermer un sujet.

Bonsoir Apollo, Je vais tenter les manoeuvres décrites dans ma précédentes réponses, puis, si besoin est, j'essaierai de communiquer avec McAfee. Le problème est qu'en français, le support est en France et il n'y a rien en français pour le Canada. Ce ne serait pas grave si on pouvait communiquer par courriel ou via un forum comme comme avec vous. Je vous remercie du temps que vous avez pris pour m'aider, de tous les conseils que vous m'avez donnés et des outils que vous m'avez faits connaître. Je pense donc que je vais fermer le sujet. Je vous tiendrai au courant des résultats, pour votre information. Merci encore.

Il n'y a pas que MBAM qui ne fonctionne pas, IE non plus. Dans un premier temps, je vais désinstaller MBAM et le ré-installer; je n'y crois pas beaucoup mais on ne sait jamais. Ensuite, je tâcherai de réparer IE, comme j'avais fait précédemment. Si ça marche, je ré-installerai McAfee. Comme je vous le disais dans mon premier message, j'ai déjà fait ça avec succès après une analyse avec Comodo Internet Service. Mais deux jours après, rien ne marchait plus. Depuis ce temps-là, vous m'avez fait faire plusieurs interventions diverses qui ont éradiqué et réparé différentes nuisances; donc on peut espérer. Si je n'avais pas encore pratiquement un an de cotisation avec McAfee, je ne chercherais pas à le rétablir.

Bonjour Apollo, Une analyse KVRT a été faite. Aucune menace n'a été détectée; c'est pourquoi je ne vous joins pas de rapport. MBAM ne fonctionne toujours pas. @+

Bonsoir Apollo, Je peux avoir un peu de temps ce soir, ce qui n'était pas prévu. Je tenterais donc une analyse avec KVRT. Y-a-t-il des consignes particulières à suivre pour cette analyse? @+

Merci pour cette réponse très complète. Si j'ai bien compris, je peux faire un cd bootable sur une machine tournant avec Windows 7 pour une machine tournant sur Vista? Je dois malheureusement arrêter pour l'instant le nettoyage de ma machine, ayant d'autres obligations. Je n'y reviendrai que jeudi prochain; ne fermez pas la discussion, svp. Bonne soirée et merci encore pour votre support et vos conseils très appréciés, croyez-moi.

Bonjour Apollo, De retour; cependant je ne dispose que d'un petit après-midi. Avec DelFix, j'ai désinstallé les outils spéciaux. Cependant, SFT et MBAM (ainsi que MBAM-rules et MBAM-setup) sont restés; DelFix ne s'est pas auto-détruit. Seul MBAM apparaît dans la liste des programmes sur le panneau de configuration. Devrai-je les supprimer "à la main"? ------------ Comme choix d'analyse subséquente, j'irais plutôt d'abord avec Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français pour les raisons suivantes: - Je n'ai de CD en ce moment et pa s le temp s maintenant d'aller m'en acheter; - et s i je doi s en arriver à la s olution avec un CD bootable, il me s emble qu'il vaudrait mieux avoir d é j à eu à faire avec K a s per s k y; - enfin, l'autre ordinateur de la mai s on tourne avec Window s 7 donc, je ne pen s e pa s que je pui s s e produire avec un CD bootable pour lancer le portable ayant Vi s ta comme O S . (Au fait, de quel type devrait-il ê tre le di s que? un DVD-R de 4.7GB ferait-il l'affaire?) Est-ce que mon raisonnement tient la route? Par ailleurs, j'ai ré-activé le pare-feu Windows; serait-il utile aussi d'activer Windows Defender en attendant que mon appareil soit "clean"? @+

Je vais devoir m'arrêter pour aujourd'hui. Cependant, je prends le temps de vous demander des précisions sur votre dernière réponse. Je vais vraiment mériter mon pseudo, mais est-ce que DelFix sert à désinstaller les outils spéciaux ou est-ce que ce sont deux opérations indépendantes? Si je comprends bien, après l'opération DelFix, j'aurai le choix entre deux possibilités d'analyse à partir du système en marche ou un CD de désinfection bootable. Je veux aussi vous remercier du temps que vous prenez pour me secourir. Vous semblez ne pas avoir besoin de dormir. Je me reconnecterai demain après-midi.