Demande d'aide pour désinfection

[tristis]

salut à tous

 

 

 

je vous fais un copié collé du topic que j'avais ouvert sur le forum sécurité ( comme ça m'a été demandé ) .

 

Comment brider ou changer son IP ? - Forums Zebulon.fr

 

et le lien cjoint ce dessous

 

© CJoint.com, 2012

 

je peux bien entendu détailler d'avantage , mais je suis la procédure classique ( enfin je pense )

 

merci d'avance de votre analyse de mon log

[bernard53]

Bonjour

Ceci s.t.p.

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

M2 - MFEP: prefs.js [mike - zjwbzyh7.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.30 (..) => Infection PUP (PUP.CacaoWeb)*

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8555 => Infection DNS (Détournement Proxy)

O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Users\mike\AppData\Roaming\cacaoweb\cacaoweb.exe => Infection PUP (PUP.CacaoWeb)*

[HKCU\Software\cacaoweb] => Infection PUP (PUP.CacaoWeb)*

O43 - CFD: 07/05/2013 - 12:47:48 - [0,025] ----D C:\ProgramData\Browse2saavee => Infection PUP (Adware.Browse2Save)

O43 - CFD: 23/05/2013 - 16:15:22 - [1031,655] ----D C:\Users\mike\AppData\Roaming\cacaoweb => Infection PUP (PUP.CacaoWeb)*

O51 - MPSK:{26073184-e21d-11e1-9445-6cf0491f2484}\AutoRun\command. (...) -- J:\Installer.exe (.not file.) => Infection USB (Trojan.USB)

O61 - LFC: 22/05/2013 - 20:03:47 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\cacaoweb.exe [451072] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 22/05/2013 - 20:04:26 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\file4DCF8AA4F03A8D3635635ED4359021E1.cacao [7617931] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 22/05/2013 - 20:06:24 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\file06881A02D03F1F6959D3056A8B8A10D1.cacao [59007209] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 22/05/2013 - 20:29:22 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\file2AAE30B79163FE114CA983A92A678C45.cacao [400053896] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 01:09:05 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\replicating727444203C904D8DC4100AF76BBBDBD5.cacao [35105384] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 01:59:10 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\replicating771F4415E99742F5F4DB91F7A55A0580.cacao [113931636] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 02:05:21 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\replicatingB385FBEE0AF0907920C8703DCA6FF32B.cacao [30591393] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 03:15:35 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\replicating8906FC1DB2D04A9652A821A5D4E4DA3B.cacao [64532129] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 03:21:18 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\replicatingFDA61C30A1EE608602E9F8C7EBD1C590.cacao [215581110] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 11:25:56 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\fileBD05B8FB2173D215F98C28EF3135F817.cacao [3934634] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 11:26:35 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\fileC6FE8482BEF20873A0CF17324E86BBC5.cacao [19925200] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 11:34:47 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\npdfile.dat [117] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 11:35:39 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\file7D9E194EAD020EEAC6191E105885A4D4.cacao [130583503] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 14:31:58 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\storage.db [2142] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 14:32:09 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\cacaonew430f6f.exe [451584] => Infection PUP (PUP.CacaoWeb)*

O61 - LFC: 23/05/2013 - 15:15:22 ---A- C:\Users\mike\AppData\Roaming\cacaoweb\errorlog.txt [87] => Infection PUP (PUP.CacaoWeb)*

[MD5.2D00DDE7B3CF7431F98BC7B8CA74FC08] [sPRF][29/10/2012] (...) -- C:\Users\mike\AppData\Roaming\HKShip.exe [16793605] => Infection FakeAlert (Possible)

[MD5.DCBAE6E09552EFFCA9B78B5184D49D12] [sPRF][22/05/2013] (...) -- C:\Users\mike\Desktop\cacaoweb.exe [451072] => Infection PUP (PUP.CacaoWeb)*

[MD5.67F1E69087D5D121A702E5FA41D8C7BD] [sPRF][24/11/2011] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Program Files (x86)\toolbar2.exe [865904] => Infection BT (Toolbar.Babylon)

O87 - FAEL: "TCP Query User{B5C948A3-33ED-4242-BF61-C2FD46937884}C:\users\mike\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Private - P6 - TRUE | .(...) -- C:\users\mike\appdata\roaming\cacaoweb\cacaoweb.exe => Infection PUP (PUP.CacaoWeb)*

O87 - FAEL: "UDP Query User{DA1BD5A2-E4BF-4E88-9200-C0B67C05444D}C:\users\mike\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Private - P17 - TRUE | .(...) -- C:\users\mike\appdata\roaming\cacaoweb\cacaoweb.exe => Infection PUP (PUP.CacaoWeb)*

O87 - FAEL: "TCP Query User{67ACE32C-10D6-454A-BD75-02F894A08152}C:\users\mike\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Public - P6 - TRUE | .(...) -- C:\users\mike\appdata\roaming\cacaoweb\cacaoweb.exe => Infection PUP (PUP.CacaoWeb)*

O87 - FAEL: "UDP Query User{DFCDBA7F-9760-4E16-9E0C-F93FB3082D32}C:\users\mike\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Public - P17 - TRUE | .(...) -- C:\users\mike\appdata\roaming\cacaoweb\cacaoweb.exe => Infection PUP (PUP.CacaoWeb)*

[HKCU\Software\cacaoweb] => Infection PUP (PUP.CacaoWeb)*

[HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}] => Infection PUP (Adware.MagniPic)

[HKLM\Software\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}] => Infection PUP (Adware.MagniPic)

[HKLM\Software\Wow6432Node\aMSN\OpenCandy] => Infection PUP (Adware.OpenCandy)*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:cacaoweb => Infection PUP (PUP.CacaoWeb)*

C:\Users\mike\AppData\Roaming\cacaoweb => Infection PUP (PUP.CacaoWeb)*

C:\Users\mike\AppData\Roaming\Mozilla\Firefox\Profiles\zjwbzyh7.default\Extensions\cacaoweb@cacaoweb.org => Infection PUP (PUP.CacaoWeb)*

[HKLM\SYSTEM\CurrentControlSet\Services\HssSrv] => Toolbar.Agent

[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv] => Toolbar.Agent

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375] => Toolbar.Agent

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5] => Toolbar.Agent

R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = AVSearch

C:\ProgramData\Browse2saavee

C:\ProgramData\Search—NewwTab

 

FirewallRaz

EmptyFlash

Emptytemp

SysRestore

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

 

Ensuite: dis moi c'est toi aui as installé ce proxy?

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>127.0.0.1;localhost;10.*;192.168.*;127.0.0.1:895;127.0.0.1:896

Ensuite:Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

 

Téléchargements - Outils de Xplode - AdwCleaner

 

 

 

- Lances le en mode normal , puis cliques sur [suppression]

- Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche , cliquez sur [OK]

 

- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.

- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [suppression]

 

- Cliquez dessus, puis patientes pendant la suppression.

- Une fois la suppression effectuée, AdwCleaner vous invitera à redémarrer l'ordinateur

 

- Au redémarrage, un rapport s'ouvrira. Postes le sur le forum.

 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[s1].txt

 

-édit- J'ai supprimé l'intervention non autorisée, ainsi que ta réponse au contrevenant -Dylav-

Modifié le 7 juillet 2013 par Dylav