[Résolu] Infection ReimagePlus.com

[Apollo]

Bonjour,

 

Si tu édites un message, je ne reçois pas de notification email...

 

Analyse avec MBAM, tu feras l'opération FF après.

 

Télécharge Delfix sur le bureau: (clique sur la grosse flèche verte) http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/9-delfix

Coche "supprimer les outils.." /Exécuter.

Delfix s'autodétruira ensuite.

 

 

 

je suis surprise qu'après tout le travail de désinfection, les problèmes d'origine demeurent : ?

 

Oui, moi aussi, ça en devient même agaçant.

 

@++

[sharleen*]

Bonjour.

 

ok, je ne savais pas pour l'édittion de messages : c'était pour éviter de rajouter trop de posts, excuse-moi.

 

Pour info :

la page d'accueil doit être un "faux" : à l'ouverture, ça s'affiche avec google en grand au-dessus du rectangle moteur de recherche, puis en 1 seconde, ça se transorfme en petit google qui se retrouve sur la gauche du rectangle de recherche, avec des animations au-dessus.

 

Oui, je partage ton avis, ça finit par devenir lassant ce problème. Merci de ton suivi.

Modifié le 1 juin 2014 par sharleen*

[sharleen*]

Rapport de nettoyage au cas où.

Je lancerai MBAM ce soir, là je ne peux pas.

 

 

# DelFix v10.7 - Rapport créé le 01/06/2014 à 16:40:18
# Mis à jour le 27/04/2014 par Xplode
# Nom d'utilisateur : YORK - YORKMOBILE
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\Qoobox
Supprimé : C:\AdwCleaner
Supprimé : C:\Documents and Settings\YORK\Application Data\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\YORK\Bureau\plop.exe
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\YORK\Bureau\adwcleaner_3.211.exe
Supprimé : C:\Documents and Settings\YORK\Bureau\JRT.exe
Supprimé : C:\Documents and Settings\YORK\Bureau\rkill.com
Supprimé : C:\Documents and Settings\YORK\Bureau\RogueKiller.exe
Supprimé : C:\Documents and Settings\YORK\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\YORK\Bureau\ZHPFix.lnk
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\SED.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\Zip.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Swearware
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

########## - EOF - ##########

Modifié le 1 juin 2014 par sharleen*

[Apollo]

 

c'était pour éviter de rajouter trop de posts, excuse-moi

 

Ah moi c'est pour toi que je le dis car je risquerais de passer outre, sans la notif.

 

Oui utilise Delfix avant de lancer MBAM et repasse SFTGC aussi.

[sharleen*]

Voilà le rapport MBAM.

2 éléments ont été mis en quarantaine, MBAM a demandé le redémarrage du pc, ce que j'ai fait.

Mais le problème semble demeurer : à l'ouverture de FF, la page google s'affiche enfin normalement, puis repasse à ce faux que je t'ai décrit précédemment.

 

 

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 01/06/2014
Heure de l'examen: 18:59:59
Fichier journal: mbam 2614.txt
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.06.01.06
Base de données Rootkits: v2014.05.21.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows XP Service Pack 3
Processeur: x86
Système de fichiers: NTFS
Utilisateur: YORK

Type d'examen: Examen "Personnalisé"
Résultat: Terminé
Objets analysés: 327915
Temps écoulé: 2 h, 19 min, 59 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 2
PUP.Optional.OptimumInstaller.A, C:\System Volume Information\_restore{614057F3-1587-43A2-8A41-F103E654F9EE}\RP186\A0151787.exe, Mis en quarantaine, [6fa0153ff4870c2a7495f35c56ab39c7],
PUP.Optional.OptimumInstaller.A, C:\System Volume Information\_restore{614057F3-1587-43A2-8A41-F103E654F9EE}\RP186\A0151788.exe, Mis en quarantaine, [af60d1831368132312f7183734cd7c84],

Secteurs physiques: 0
(No malicious items detected)


(end)

Et bien que n'ayant toujours pas la protection e-mail de l'antivirus, je suis allée voir la messagerie :

sur la page de connexion, à présent 2 gros messages qui clignotent comme quoi 2 logiciels malveillants..

 

La barbe, si je puis dire !

je fais juste un essai de message..

il y a un problème : je tape un supplément de message dans "répondre à ce sujet" après avoir posté le rapport, je clique sur "ajouter" et tout ce que j'écris s'inclut dans le message du rapport.

[sharleen*]

Je suppose, à la réflexion et me souvenant maintenant de ce que tu avais dit pour un autre logiciel, que c'est d'avoir redémarré le pc comme le demandait MBAM qui a réactivé le malware : ?

 

Si c'est ça, vraiment pas de chance : nouvelle version de MBAM, j'ai suivi l'instruction ..bien qu'elle m'ait un peu surprise : pour que la quarantaine soit effective ou je ne sais plus, il fallait redémarrer le pc.

[Apollo]

Bonjour,

 

Non, ce qui est en quarantaine est inoffensif mais tu peux la purger si tu veux.

 

Retélécharge Delfix et coche seulement la case "purger la restauration.. ". Exécuter.

 

-------------------

Désinstalle Firefox avec RevoUninstaller comme expliqué plus haut.

 

++

[sharleen*]

Bonjour.

 

J'ai supprimé les objets en quarantaine.

Désinstallé FF comme indiqué, mais pas garder les marques pages, pas un problème pour moi.

 

Par contre je me suis peut-être trompée :

j'ai coché et supprimé uniquement les lignes en surgras. La fenêtre suivante, il y avait des lignes à cocher mais pas en surgras, je n'ai rien fait et donc rien supprimé.

S'il fallait aussi supprimer cela, y a-t-il moyen de reprendre la chose ?

 

J'ai aussi désinstallé RealPlayer que j'utilise peu et qui n'était plus à jour. J'ai procédé comme pour FF, uniquement ce qui était en surgras..

 

Je t'écris d'un autre pc car voulant te répondre sur l'autre et donc sur IE8, un message s'affiche comme quoi la connexion n'est pas sécurisée vers la page demandée, etc..

Je n'ai plus l'habitude d'IE8, s'il y avait un paramétrage à faire, je ne sais plus lequel.

Je n'ai pas voulu courir de risque.

Je n'ai par conséquent pas non plus téléchargé et installé à nouveau FF.

 

Merci.

Modifié le 2 juin 2014 par sharleen*

[Apollo]

 

il y avait des lignes à cocher mais pas en surgras, je n'ai rien fait et donc rien supprimé.

 

Tu dois cocher tout ce qui est relatif au programme que tu désinstalles sinon il reste des traces, et par conséquent des saletés s'il en reste.

 

Réinstaller FF et réutiliser Revo. Vire tout ce qui a trait à Mozilla/Firefox.

 

Réinstalle-le alors.

 

 

 

Je t'écris d'un autre pc car voulant te répondre sur l'autre et donc sur IE8, un message s'affiche comme quoi la connexion n'est pas sécurisée vers la page demandée, etc..

 

 

Passe outre, car cela dépend des paramètres de sécurité du navigateur.

[sharleen*]

Ok.

 

Oui, il me semblait bien que je me trompais..

J'ai fait comme tu m'as dit : réinstaller, désinstaller, retélécharger et installer.

 

A l'ouverture page de Mozilla et onglet de page d'accueil : google, apparemment normal.

Bien que FF ait pourtant ces derniers temps Bing comme moteur de recherche.

Je suis allée voir la messagerie qui posait problème : plus de fausse alerte.

De retour sur la page d'accueil, google est à nouveau un faux, en petit et avec les animations tronquées.

 

Je ne peux poursuivre ce soir.

Si tu as une suggestion néanmoins, elle est bienvenue.