[Résolu] Infection Hijacker Proxy / OpenCandy

[Mickey_Mouse]

Bonjour à vous tous. Je viens vers vous pour bénéficier de votre expertise en la matière.

 

J'ai deux pcs portables à la maison, et sur un j'ai un soucis avec un programme appelé notation qui refuse d'être désinstallé via CC cleaner, ainsi qu'un problème de proxy avec google chrome (obligé de passer dans les options avancées pour désactiver le proxy pour aller sur internet). Ca fait plusieurs mois que ça dure, et là je me suis dis bon je vais regarder ce que c'est que ce bazaar. Et Hop surprise !!! Je suis tombé sur plusieurs forums dont le votre, et après avoir runné le scan de ZhpDiag, j'ai compris pourquoi j'avais ce problème à chaque redémarrage pc (Hijacker spotté par le ZHp).

 

Sur le deuxième pc, j'ai donc lancé Zhp, qui cette fois à trouvé en plus du toolbar bing présent sur les deux pcs (ne JAMAIS prêter vos pcs à votre grand mère ), l'adware Open candy.

 

 

Voici donc les deux rapports d'analyse de Zhp Diag :

PC 1 : © CJoint.com, 2012

PC 2 : © CJoint.com, 2012

 

Maintenant que dois je enlever ? seulement les lignes marquées en rouge et en bleu (Hijacker/Opencandy et bing) ou y a t'il d'autres lignes à faire sauter ? Quelle est la marche à suivre ?

Ps : J'ai lu après les avoir téléchargé, qu'il fallait downloader les programmes tels que Zhp, Zhpfix etc sur le bureau. Y a t'il une raison particulière ? Mon pc est il condamné vu que je les ai téléchargés dans le dossier téléchargement ? ^^

 

merci d'avance

[Apollo]

Bonjour,

 

J'ai lu après les avoir téléchargé, qu'il fallait downloader les programmes tels que Zhp, Zhpfix etc sur le bureau. Y a t'il une raison particulière ? Mon pc est il condamné vu que je les ai téléchargés dans le dossier téléchargement ? ^^

 

Ben déplace-les sur le bureau.

 

Crée un autre sujet pour ton pc 2, je traiterai seulement le 1, sinon on risque de trébucher dans les rapports.

 

1) Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

Télécharger RogueKiller (Site Officiel)

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven/8, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

----------------------------------

 

2) Clique sur Suppression et poste le rapport.

 

-----

3) Clique sur Proxy Fix et poste le rapport.

 

@++

[Mickey_Mouse]

Merci Apollo de prendre en charge mon problème .

 

Voilà le rapport de Rogue killer : RogueKiller V8.6.1 _x64_ [Jun 25 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : nicole [Droits d'admin]

Mode : Recherche -- Date : 06/28/2013 11:59:24

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 2 ¤¤¤

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Tâches planifiées : 0 ¤¤¤

 

¤¤¤ Entrées Startup : 0 ¤¤¤

 

¤¤¤ Navigateurs web : 3 ¤¤¤

[FF][PROXY] 9a71b6x5.default : user_pref("network.proxy.hxxp", "127.0.0.1"); -> TROUVÉ

[FF][PROXY] 9a71b6x5.default : user_pref("network.proxy.hxxp_port", 8877); -> TROUVÉ

[FF][PROXY] 9a71b6x5.default : user_pref("network.proxy.type", 1); -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

 

¤¤¤ Ruches Externes: ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> %SystemRoot%\System32\drivers\etc\hosts

 

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST31000524AS +++++

--- User ---

[MBR] aa52fdad5d649b62f55b28a0b99aa520

[bSP] e321fb9d60f48e0204fc4dd56fe97deb : Windows 7/8 MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 410163 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 892444672 | Size: 518105 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[0]_S_06282013_115924.txt >>

RKreport[0]_S_06282013_115640.txt

[Apollo]

Fais les points 2 et 3 avec RogueKiller comme demandé plus haut.

 

@++

[Mickey_Mouse]

Rapport après étape 2 : RogueKiller V8.6.1 _x64_ [Jun 25 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : nicole [Droits d'admin]

Mode : Recherche -- Date : 06/28/2013 12:34:25

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Tâches planifiées : 0 ¤¤¤

 

¤¤¤ Entrées Startup : 0 ¤¤¤

 

¤¤¤ Navigateurs web : 3 ¤¤¤

[FF][PROXY] 9a71b6x5.default : user_pref("network.proxy.hxxp", "127.0.0.1"); -> TROUVÉ

[FF][PROXY] 9a71b6x5.default : user_pref("network.proxy.hxxp_port", 8877); -> TROUVÉ

[FF][PROXY] 9a71b6x5.default : user_pref("network.proxy.type", 1); -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

 

¤¤¤ Ruches Externes: ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> %SystemRoot%\System32\drivers\etc\hosts

 

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST31000524AS +++++

--- User ---

[MBR] aa52fdad5d649b62f55b28a0b99aa520

[bSP] e321fb9d60f48e0204fc4dd56fe97deb : Windows 7/8 MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 410163 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 892444672 | Size: 518105 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[0]_S_06282013_123425.txt >>

RKreport[0]_D_06282013_123319.txt;RKreport[0]_S_06282013_115640.txt;RKreport[0]_S_06282013_115924.txt

[Mickey_Mouse]

Rapport après étape 3 :

 

RogueKiller V8.6.1 _x64_ [Jun 25 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : nicole [Droits d'admin]

Mode : Recherche -- Date : 06/28/2013 12:43:18

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Tâches planifiées : 0 ¤¤¤

 

¤¤¤ Entrées Startup : 0 ¤¤¤

 

¤¤¤ Navigateurs web : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

 

¤¤¤ Ruches Externes: ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> %SystemRoot%\System32\drivers\etc\hosts

 

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST31000524AS +++++

--- User ---

[MBR] aa52fdad5d649b62f55b28a0b99aa520

[bSP] e321fb9d60f48e0204fc4dd56fe97deb : Windows 7/8 MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 410163 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 892444672 | Size: 518105 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[0]_S_06282013_124318.txt >>

RKreport[0]_D_06282013_123319.txt;RKreport[0]_S_06282013_115640.txt;RKreport[0]_S_06282013_115924.txt

RKreport[0]_S_06282013_123425.txt

[Apollo]

1) Pour IE:

Va dans Panneau de configuration/Options internet.

Sélectionne l'onglet Connexion puis clique sur le bouton Paramètres réseau.

Dans la nouvelle fenêtre, sous Serveur Proxy, décoche la case Utiliser un serveur Proxy puis clique sur OK autant de fois que nécessaire pour fermer toutes les fenêtres.

 

 

Pour Firefox:

 

Sous Firefox, va dans le menu Outils/Options/Avancé/sélectionne l'onglet Réseau.

Sous la rubrique Connexion, clique sur Paramètres.

Coche la case Pas de proxy puis clique sur OK autant de fois que nécessaire pour fermer toutes les fenêtres.

 

---------------------------

2) Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer s'il est ailleurs.

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFT.txt)

 

Héberger sur Accueil de Cjoint.com pour ne pas planter le sujet.

 

 

--------------------------

3) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau. Malwarebytes : Téléchargement gratuit anti-malware, antivirus et anti-espion

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

A la fin de l'installation, décocher la case proposant l'essai de la version Pro.

 

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[Mickey_Mouse]

1) les cases étaient déjà décochées sous IE. Firefox n'est plus installé depuis 2 mois sur mon pc.

 

2) Voici le rapport de SFTGC : Confirmation de création

 

3) Voici le rapport de Malware Bytes :

 

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org

 

Version de la base de données: v2013.06.27.11

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 10.0.9200.16618

nicole :: NICOLE-PC [administrateur]

 

28/06/2013 13:34:56

mbam-log-2013-06-28 (13-34-56).txt

 

Type d'examen: Examen complet (C:\|D:\|Q:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 383850

Temps écoulé: 36 minute(s), 57 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

[Apollo]

Ok,

 

Comment va la machine?

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI de Secunia est pratique pour connaître les failles dans diverses applications. (pas obligatoire)

 

En français depuis la version 3.0. Très simple d'utilisation.

 

-----------------

Si tout est bon,

 

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton "Supprimer les outils de désinfection". >> Exécuter.

 

NB, tu peux également cocher la case "Purger la restauration système", un nouveau point sera automatiquement créé. Conseillé quand le pc est désinfecté.

 

 

Delfix s'autodétruira ensuite.

 

On finalisera si tout est ok.

 

@++

[Mickey_Mouse]

Le test PSi de Secunia, je télécharge l'appli ou je fais le scan Online ?

J'ai redémarré mon pc, j'ai maintenant accès au net sans avoir à décocher le proxy dans les paramètres avancés de Chrome, en revanche, j'ai relancé un scan de ZhpDiag pour le fun et il y a toujours ces 3 lignes (surtout celle en rouge) qui me font tiquer :

[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS] =>Toolbar.Bing

[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{29633E53-BF13-41B5-9E10-19D7843BD9C3}] =>Hijacker.Proxy

[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32] =>Toolbar.Bing