[Résolu] Infection multiple : Boxore et Cie

[Rupp]

Bonjour à tous,

 

Affichage publicitaire "bizarre", redirection vers des pages non souhaitées: autant de symptomes d'une infection de mon PC.

Merci les téléchargements de mes chers têtes blondes!

 

Le diagnostic avec malwarebyte m'a appris que mon PC était vraiment vérolé!

 

Après un premier traitement, certains symptomes persistent: des malwares font de la résistance!

 

J'ai lancé une recherche avec ZHPDiag (merci N.Coolman pour cet outil) et il reste les malwares suivants :

Adware.Facemoods
Adware.AddLyrics
Adware.Boxore
PUP.Glindorus
Toolbar.Conduit
PUP.CrossRider
Toolbar.Bing
Adware.BullseyeToolbar
PUP.Funmoods

 

Et la, j'appelle au secours, à l'aide.

Merci d'avance.

Modifié le 12 octobre 2013 par Rupp

[bernard53]

Bonsoir

Fait ceci s.t.p.

Télécharge AdwCleaner d'Xplode sur ton bureau.

 

Ensuite :

Valide le mode Scanner

 

 

Puis : valide Rapport et si des intrusions sont détectées valide alors le mode Nettoyer

 

Possibilité après ce lancement d’une demande de redémarrage pour valider toutes les suppressions.

 

- Au redémarrage, un rapport s'ouvrira. Postes le sur le forum.

 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[s1].txt

Mets les rapports ici car ils prennent bien de la place.

http://cjoint.com/

ou.

http://www.1fichier.com/

 

Ensuite:

1) Télécharge Junkware Removal Tool sur le bureau: http://www.bleepingcomputer.com/download/junkware-removal-tool/dl/131/

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en tant qu'administrateur.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

 

 

Puis;

Télécharges http://nicolascoolman.webs.com/'> ZHPDIAG (de Nicolas Coolman) sur ton bureau...
Doubles-clique sur l'icône ZHPDiag .exe pour l’installation.

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

Double-clique ensuite sur l’icône ZHPDiag pour le lancer l’analyse puis :

A la fin du scan le rapport est sauvegardé directement sur ton bureau. ZHPDiag.txt

Mets le rapport ici car il prend bien de la place.

http://cjoint.com/

ou.

http://www.1fichier.com/

[Rupp]

bonsoir Bernard53,

 

merci de ta réactivité.

Tu trouveras ci-dessous le rapport de Junkware.

 

Les 2 autres rapports sont sur cjoint.

et voila le rapport junkware,

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.4 (10.06.2013:1)
OS: Windows 7 Home Premium x64
Ran by Stephane on 11/10/2013 at 22:13:31,46
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~ Services

~~~ Registry Values

~~~ Registry Keys

~~~ Files

~~~ Folders

~~~ Event Viewer Logs were cleared

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 11/10/2013 at 22:13:31,72
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[bernard53]

 

 

Les 2 autres rapports sont sur cjoint.

il faut que tu me donnes les liens de consultations s.t.p.

[Rupp]

les voici:

 

http://www.cjoint.com/?3JlwsCwJlTm

 

http://www.cjoint.com/?3JlwCHBXIx9

 

[bernard53]

ok ceci.

* Copie tout le texte présent que tu télécharges dans le lien ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

 

http://8smlrc.1fichier.com/

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

Valides l’icône IMPORTER

 

 

puis valide GO dans cette fenêtre.

 

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

A la fin du scan le rapport est sauvegardé directement sur ton bureau. ZHPFixReport.txt

 

Après cela dis moi comment va ton pc s.t.p.

[Rupp]

Voila le rapport:

 

Rapport de ZHPFix 2013.10.11.8 par Nicolas Coolman, Update du 11/10/2013
Fichier d'export Registre :
Run by Stephane at 12/10/2013 17:57:38
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée
Réparation des raccourcis navigateur

========== Clés du Registre ==========
SUPPRIMÉ: Service: Util glindorus
SUPPRIMÉ: HKLM\Software\Wow6432Node\glindorus
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\glindorus
SUPPRIMÉ:* HKLM\Software\Classes\CLSID\{11111111-1111-1111-1111-110411151152}
SUPPRIMÉ:* HKLM\Software\Classes\CLSID\{22222222-2222-2222-2222-220422152252}
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110411151152}
SUPPRIMÉ: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110411151152}
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\38D5CDD0A851B3940A43CC50ABBA251C
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AAC05EAA51DC78A41A1DCE3B31038584
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BA71D41F6CC0B6247B05D473850A8AEA
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC
SUPPRIMÉ: [HKLM\Software\Classes\Installer\Products\\25BD30E1BC5D83343A835E62DDD4D41B]
SUPPRIMÉ: [HKLM\Software\Classes\Installer\Features\25BD30E1BC5D83343A835E62DDD4D41B]

========== Valeurs du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :

========== Dossiers ==========
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Fichiers ==========
SUPPRIMÉ: C:\Windows\Installer\1ac9a8b3.msi
SUPPRIMÉ: C:\Windows\Installer\{1E03DB52-D5CB-4338-A338-E526DD4D4DB1}\icon_installer_ico
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Restauration Système ==========
Aucun Point de restauration du système crée


========== Récapitulatif ==========
13 : Clés du Registre
2 : Valeurs du Registre
2 : Dossiers
4 : Fichiers
1 : Restauration Système

End of clean in 00mn 19s

========== Chemin de fichier rapport ==========
C:\Users\Stephane\AppData\Roaming\ZHP\ZHPFix[R1].txt - 12/10/2013 17:57:41 [2380]

 

Je n'ai plus d'affichage et de redirection "pirate".

Tout fonctionne correctement à nouveau: Nickel!

 

Dernière question: est-ce-que ces malwares collectent des données perso? Faut-il changer des mots de passe ?

 

Merci pour tes conseils et ce nettoyage en profondeur.

[bernard53]

Non pas de soucis pour tes mots de passe tout en sachant que les changer de temps en temps est une sécurité supplémentaire.

 

Vu que tout va valide ton post en résolu s.t.p.

http://forum.zebulon.fr/comment-afficher-son-sujet-comme-resolu-t180253.html

Bonne soirée

Modifié le 12 octobre 2013 par bernard53

[Rupp]

Merci et bonne soirée également