[Résolu] Infection FilesBunker

[tomtom95]

Bonjour,

rien n'etait rouge dans aswMBR, donc a la fin je n'ai pas procédé au MBR fix qui semblait dangereux a faire

C'est une bonne chose ,et vous avez bien fait pour le Fix MBR est a titre d'information si le MBR est infecté.

cela dit, il "semble" que les symptomes ont disparu... apparence trompeuse ou eradication ??

C'est la suppression avec l'outil ZHPfix.

J'avais un doute sur la présence d'une infection Rootkit (Rootkit.TDSS) sur votre pc.
Je vais quand même vous demander de passer un autre outil.

Télécharge RogueKiller (par tigzy). sur le bureau

votre est un 64 Bits cliquer sur X64

• IMPORTANT:Quitte tous tes programmes en cours
  Désactive tes protections (Antivirus et par-feu)
• Lancez RogueKiller.exe.
• Cliquez droit -> exécuter en tant qu'administrateur
  
  Note : Attends que le PreScan ait fini.
• Acceptez la licence.
• Cliquez sur Scan.
  Puis
• Cliquez sur Suppression
• Une fois le scan terminé rends toi sur le bureau
  le rapport [RKreport.txt] à été créé.
• Hébergez le rapport présent sur votre bureau sur le site http://www.cjoint.com
  Puis copier/coller le lien fourni dans votre prochaine réponse.

A+

 

[darwed]

bon j'ai pas fait comme il faut...

voila le rapport

http://cjoint.com/?0CsuucoNNET

 

j'ai pas encore fait la suppression

je l'ai faite

rien a declarer

Modifié le 18 mars 2014 par darwed

[tomtom95]

je l'ai faite rien a declarer

éditeur de Base de Registres et Gestionnaire des tâches était quand même désactiver.

 

Comment ce comporte ton système ??

 

Si c'est OK,

 

Désinstallation des outils, il ne sert à rien de les garder sur son ordinateur, ils sont mis régulièrement à jour, et ne s’utilisent que dans des cas bien précis,

 

• Supprimer les outils et purger la restauration car celle-ci peut être infectée

  Téléchargez DelFix (de Xplode) sur ton Bureau

  

• Cochez les cases :

  supprimer les outils de désinfection

  Purger la restauration système

• Validez sur Exécuter
• Laissez travailler l'outil

  Un rapport s'ouvre Copie/colle le rapport obtenu

  Delfix ce supprime automatiquement

  Le rapport ce trouve aussi sur a la base du lecteur C\Defix.txt

• Hébergez le rapport Defix.txt sur le site http://www.cjoint.com

  Puis copier/coller le lien fourni dans votre prochaine réponse.

Pour finir quelques conseilles:

Je conseille pour l'avenir de changer de mode de téléchargement éviter les programmes P2P les cracks, Keygens

Les risques du peer-to-peer

 

Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

Bien lire les accords de licence avant toute installlation

prend quelques instants pour lire,

Lisez d'abord cliquez après !!!

Les installateurs et l'opt out

 

D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant

Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.

L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring),

Votre PC se retrouve avec des programmes ou barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.

Lire Les PUPs/LPIs

D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant

Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.

L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring),

Votre PC se retrouve avec des programmes ou barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.

Lire Les PUPs/LPIs

De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.

 

Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.

Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player.

 

 

Vous pouvez faire une défragmentation du pc

utiliser defraggler sans toolbar (le dernier en bas de page)

Defraggler Slim

Tutoriel en image

Au niveau de Firefox , tu peux sécuriser ta navigation

Firefox

 

Ensuite vous pouvez marquer votre sujet comme résolu

Voici comment faire

 

Dans le premier message de ton sujet,En bas clique sur Modifier

Dans l'éditeur qui s'ouvre,En bas clique sur Utiliser l'éditeur complet

Dans la fenêtre du titre du sujet , ajoute [Résolu].

Clique sur le bouton Enregistrer le message modifié pour valider.

 

[darwed]

Merci Tom pour cette aide très concrete !

j'ai fait comme tu as dit, tout à l'air d'aller mieux

 

il semble que ce soit cacaoweb qui foute le dawa...

je ne sais pas

dommage qu'un petit "debrideur" cache en fait tout autre chose (sans que je ne sache quoi exactement...)

une info?

 

En tout cas merci pour ce boulot

et bravo pour la patience

 

cordialement,

Da

[tomtom95]

Bonjour darwed,

Il y avait la présence de plusieurs infections sur votre ordinateur pas seulement CacaoWeb,

Voici un récapitulatif des détections trouvées sur votre système.

http://nicolascoolman.webs.com/apps/blog/show/27068497-hijacker-privitizevpn =>Hijacker.PrivitizeVPN
http://nicolascoolman.webs.com/apps/blog/show/31929570-adware-saveshare =>Adware.SaveShare
http://nicolascoolman.webs.com/apps/blog/show/27232411-hijacker-proxy =>Hijacker.Proxy
http://nicolascoolman.webs.com/apps/blog/show/41737185-pup-saveclicker =>PUP.SaveClicker
http://nicolascoolman.webs.com/apps/blog/show/29637859-toolbar-tarma =>PUP.Tarma
http://nicolascoolman.webs.com/apps/blog/show/27566847-pup-cacaoweb =>PUP.CacaoWeb
http://nicolascoolman.webs.com/apps/blog/show/26967630-adware-installpedia =>Adware.InstallPedia
http://nicolascoolman.webs.com/apps/blog/show/26684723-adware-imbooster =>Adware.IMBooster

Donc attention à ce que vous installez et où vous téléchargez les programmes.

J'espère que vous avez passé l'outil DELFIX pour supprimer les outils
Mais surtout pour purger la restauration système car celle-ci peut être infectée.

Voilà bon week-end.

[darwed]

Bonjour TOMTOM

comme je disais sur mon premier message, mes problemes sont revenus

et quasi le lendemain, mais j'ai laissé coulé, parceque ça prend pas mal de temps au final tout ça...

 

Donc si tu peux m'aider à retrouver ce qui ne va pas...

Merci d'avance

 

Darwed

[tomtom95]

Bonsoir darwed,

Ok on repart de zéro.

Appliquez la procédure de Delfix pour supprimer que les outils

• Téléchargez DelFix (de Xplode) sur ton Bureau
• Coche seulement la case :
  supprimer les outils de désinfection
• Validez sur Exécuter
• Laissez travailler l'outil
  Un rapport s'ouvre Copie/colle le rapport obtenu
  Delfix ce supprime automatiquement
  Le rapport ce trouve aussi sur a la base du lecteur C\Defix.txt
• Hébergez le rapport Defix.txt sur le site http://www.cjoint.com
  Puis copier/coller le lien fourni dans votre prochaine réponse.

• Ensuite vous allez faire un diagnostic de votre ordinateur.
• Télécharger ZHPDiag sur votre bureau :
• Laissez-vous guider lors de l'installation.
• Ouvrez ZHPDiag Sur Windows Vista / 7 / 8 (clique-droit > exécuter en tant qu'administrateur
  Dans l'interface de l'outil
• Cliquez sur FULL OPTIONS.
  
  
  
  patientez le temps du scan.
• Hébergez le rapport ZHPDiag.txt présent sur votre bureau sur le site http://www.cjoint.com
  Appuyez sur Parcourir et chercher les rapports sur le bureau
• Cliquez sur Ouvrir
• Cliquez sur Créer le lien CJoint,
  Puis copier/coller le lien fourni dans votre prochaine réponse.

 

[darwed]

Merci tomtom

 

le rapport Delfix : http://cjoint.com/?0CBsoNKhxAQ

et celui de ZHP : http://cjoint.com/?0CBsDTv8ZDl

[tomtom95]

Bonsoir,

Sans changement radical dans votre façon de télécharger les logiciels

je ne vais pas pouvoir vous aider longtemps dans la désinfection de votre ordinateur.

• Ferme toutes les applications en cours (notamment ton navigateur)
  Désactive tes protections (Antivirus et par-feu)
• Cliquez sur l'icône ZHPFix,présent sur votre Bureau
  pour vista/W7/W8 clique-droit > exécuter en tant qu'administrateur
• Surlignez le texte ci-dessous puis cliquez droit Copier
  
  

  Script ZHPFix
  c:\users\darwed\appdata\roaming\cacaoweb\cacaoweb.exe
  c:\users\darwed\downloads\cacaoweb.exe
  O18 - Handler: wlpg [64Bits] - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} . (...) --
  O43 - CFD: 02/12/2012 - 15:38:33 - [4,907] ----D C:\Program Files (x86)\Spybot - Search & Destroy
  O43 - CFD: 02/12/2012 - 15:39:07 - [0,051] ----D C:\ProgramData\Spybot - Search & Destroy
  O43 - CFD: 10/12/2013 - 12:20:27 - [0] ----D C:\Users\Darwed\AppData\Local\SCE
  O43 - CFD: 19/03/2014 - 21:44:26 - [0,059] ----D C:\ProgramData\256dece98a8421ac
  O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
  O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
  O87 - FAEL: "TCP Query User{C53A96C9-2F6B-4C9D-8BA6-B4969174CCBE}C:\users\darwed\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\darwed\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
  O87 - FAEL: "UDP Query User{54C6AB3B-EA81-4B8C-B2BD-3A5E4A6A2DFF}C:\users\darwed\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\darwed\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
  O87 - FAEL: "TCP Query User{79270898-D0CF-47E6-B0C8-A754055F7744}C:\users\darwed\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\darwed\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
  O87 - FAEL: "UDP Query User{1876144E-5E11-41E4-BA95-436483B020CD}C:\users\darwed\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\darwed\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
  [HKCU\Software\PopCap]
  [HKLM\Software\Wow6432Node\PopCap]
  [MD5.F02A533F517EB38333CB12A9E8963773] [APT] [GoogleUpdateTaskMachineCore] (.Google Inc..) -- C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [136176]
  [MD5.F02A533F517EB38333CB12A9E8963773] [APT] [GoogleUpdateTaskMachineUA] (.Google Inc..) -- C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [136176]
  
  ShortcutFix
  PROXYFix
  HOSTFix
  EmptyPrefetch
  EmptyCLSID
  FirewallRaz
  EmptyTemp
  EmptyFlash
  Sysrestore

• Dans l'interface de ZHPFix Cliquez sur Importer et sur OK
  
  
  
  Attention :vérifiez que que toutes les lignes se sont collées
• Puis Cliquez sur "GO"
• Confirmez les nettoyages des données en cliquant sur "Oui"
  
  Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
• Une fois le scan terminé le fichier ZHPFixReport à été crée sur le bureau.
• Hébergez le rapport ZHPFixReport sur le site http://www.cjoint.com
  puis copier/coller le lien fourni dans votre prochaine réponse.

 

• Télécharger sur le bureau pas ailleur SFTGC.exe de pierre 13
• Si l'antivirus fait des siennes: désactive-le provisoirement.
  Si tu ne sais pas comment faire, reporte-toi à cet article.
• Sous XP, double cliquer sur le fichier.
• Sous Vista, Win 7 et Win 8, Faire un clic droit sur le fichier et choisir exécuter en tant qu'administrateur
  
• Pour lancer le nettoyage, il suffit de cliquer sur Go.
• A la fin du nettoyage, un rapport va s'ouvrir.
• Ce rapport est enregistré sur le bureau (SFTGC.txt)
  Ce rapport étant trop long pour le forum, héberge le :
• Sur Cjoint.com et copie-colle le lien fourni dans ta réponse

 

 

 

• Faite la mise à jour MalwareByte's Anti-Malware présent sur votre ordinateur
• Exécute ensuite MalwareByte's .
• Branchez toutes vos SUPPORTS externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir
• sélectionne "Exécuter un examen complet".
• Afin de lancer la recherche
• clique sur"Rechercher".
• Coche toutes les cases de vos lecteurs ....
• clique sur"Rechercher"pour lancer le scanne.
• Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
• Si des infections sont présentes
• clique sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
  IMPORTANT : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression accepte en cliquant sur Ok
• Héberge le rapport sur le site http://www.cjoint.com
  puis copie/colle le lien fourni dans ta prochaine réponse.

 

 

[darwed]

Bonsoir tomtom et merci

changer radicalement ma façon de telecharger... mmh mais comment?

je veux dire, les seules fois que je telecharge c'est en regardant du streaming et en utilisant donc cacoweb pour debrider

et recemment en installant pop-corn. A part ça, je ne vois pas. Une solution plus adaptée serait elle possible (en MP) ?

 

je me lance dans la procedure, à plus tard donc.

Da.