[Résolu] Infection adware/malware

[Garggle]

Bonjour,

J'ai voulu faire une demande d'aide sur le forum software mais comme ça fait suite à une infection les forumeurs m'ont demandé de passer d'abord ici.

Seulement j'ai déjà fait le ménage du mieux que je peux et je ne me souviens pas du nom des malware que j'ai désinstallés : j'ai en tête "qsee" et "cwinpc" mais rien n'est sur.

Ca a commencé par un plantage de firefox alors que j'étais sur le site kocoriko (un site de financement participatif, j'y avais accéder par un mail de confiance). J'avais passé quelques minutes avant à passer en revues des sites de ddl de mes marques page et à nettoyer ceux qui n'étaient plus accessibles (rip phoenix)

 

Seuls indices que je peux donner sur l'infection :

- tous mes navigateurs avaient comme page d'accueil et moteur de recherche "attirerpage.com"

- sur firefox tous mes onglets ouverts ont été fermé et "attirerpage.com" a été le seul onglet présent quand j'ai relancé firefox (après plantage donc)

 

Ce que j'ai fait :

- j'ai lancé une analyse avec avira antivir et mis en quarantaine les 2 trucs trouvés (ADWARE/ELEX.gxwy et ADWARE/ELEX.gwpg)

- j'ai désinstallé les 2 éléments les plus récents des programmes installés (qsee et cwinpc de mémoire) que je n'avais pas moi même choisi d'installer

- j'ai fait un nettoyage de disque avec ccleaner

- nettoyage de registre

- j'ai fait une analyse et nettoyage avec MBAM

- j'avais des soucis avec firefox, je cite mon autre topic là : Après avoir passé quelques petites heures à tout remettre en ordre (notamment retrouver mes onglets, prunelle de mes yeux, j'en ai toujours un trentaine d'ouverts, procrastination mon amour) et notamment après avoir désinstallé Firefox, supprimé tous les dossiers dans Program/AppData et ainsi de suite, passé CCleaner, Malwarebye AntiMalware et nettoyé le registre j'ai réinstallé un firefox tout beau tout neuf.

 

édit : Ouuups j'avais oublié le diag

https://framadrop.org/r/JStDM53WOs#xEP4F9dML0zlKY9ZVJM8ThEIAqGo8LcfrJosaZF6mNU=

 

Donc je crois avoir résolu le problème, mais j'ai fait ça en amateur donc j'écoute vos conseils.

Merci !

Modifié le 29 juin 2016 par Garggle

[tomtom95]

Bonsoir Garggle,

Présence d'infection par adwares/hijackers qui se sont installés avec ton consentement,
Il faut être plus vigilant sur ce qui est validé lors de l'installation de logiciels

De plus il faudrait changer la façon de télécharger présence du crack HackTool.AutoKMS https://nicolascoolman.info/2016/05/04/hacktool-autokms/

s’agit d’un utilitaire de cracking des produits Microsoft

• Télécharge ZHPFix de Nicolas Coolman enregistre-le sur ton Bureau
• Pour lancer l'installation clique-droit sur ZHPFix.exe > exécuter en tant qu'administrateur
  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau
• Puis Clique-droit >sur l'icône ZHPFix ,présent sur votre Bureau clique-droit > exécuter en tant qu'administrateur
  
• Surlignez tout le texte ci-dessous puis cliquez droit Copier
  
  

  Script ZHPFix
  C:\Windows\AutoKMS\AutoKMS.exe
  C:\Windows\Tasks\AutoKMS.job
  C:\Windows\System32\Tasks\AutoKMS
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinZip
  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip
  HKLM\SOFTWARE\Wow6432Node\WinZiper
  HKCU\SOFTWARE\0E240D67099819C819496EF18ECD972F
  HKCU\SOFTWARE\329C7B57621EB06843B74E5D725EA80C
  C:\Program Files (x86)\WinZipper
  C:\ProgramData\Microsoft Toolkit
  C:\Users\Louison\AppData\Roaming\TSv
  C:\Users\Louison\AppData\Roaming\WinZiper
  C:\Windows\Prefetch\WINZIPER.EXE-D799043C.pf
  C:\Users\Louison\AppData\Local\Packages\2290AmazingGames.StackFree_b0xw1jkp2vx6y\AC\Microsoft\CLR_v4.0_32\NativeImages\Stores\1ef338542adfd745ea8b5685fc91bd4e\Stores.ni.dll
  C:\Users\Louison\AppData\Local\Packages\2290AmazingGames.StackFree_b0xw1jkp2vx6y\AC\Microsoft\CLR_v4.0_32\NativeImages\Common\a40b14423a58c1568576b17a385d9c20\Common.ni.dll
  O69 - SBI: prefs.js [Louison - f6iaeia7.Louison] user_pref("stumble.9525272.autocomplete_type", "tag,query"); =>PUP.Optional.PredictAd
  O69 - SBI: SearchScopes [HKCU] {33BB0A4E-99AF-4226-BDF6-49120163DE86} [DefaultScope] - (attirerpage) - http://www.attirerpage.com/
  O69 - SBI: SearchScopes [HKLM] {33BB0A4E-99AF-4226-BDF6-49120163DE86} - (attirerpage) - http://www.attirerpage.com/
  
  ShortcutFix
  Ifeofix
  PROXYFix
  EmptyPrefetch
  EmptyCLSID
  FirewallRaz
  EmptyTemp
  EmptyFlash
  Sysrestore

• Dans l'interface de ZHPFix Cliquez sur Importer et sur OK
  
  
  
  IMPORTANT :Fermez toutes les applications en cours (notamment votre navigateur)
  Désactivez vos protections (Antivirus et par-feu)
  Attention :vérifiez que que toutes les lignes se sont collées
• Puis Cliquez sur "GO"
• Confirmez les nettoyages des données en cliquant sur "Oui"
  Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
• Une fois le scan terminé le fichier ZHPFixReport à été crée sur le bureau.
• Hébergez le rapport ZHPFixReport sur le site d'hébergement de fichiers
  puis copier/coller le lien fourni dans votre prochaine réponse.

• Télécharges Adwcleaner (de Xplode) sur ton Bureau
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Fais clique droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8/10 et Vista
• Cliquez sur oui pour Accepter la licence
  
• Clique en haut sur OPTIONS >> Coche préférences Chrome
• Choisir l'option Scanner
  Ensuite
• Choisir l'option Nettoyer
• Acceptez l'avertissement en cliquant sur OK
• Hébergez le contenu du rapport qui apparaît au redémarrage du PC
  sur le site ce site d'hébergement de fichiers
  Puis copie/colle le lien fourni dans votre prochaine réponse.

• Télécharge ZHPCleaner de Nicolas Coolman sur votre bureau.
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Fais un double clique sur l'icône pour le lancer
  Sous Windows Vista / 7 / 8 /10(clique-droit > exécuter en tant qu'administrateur
  Accepte "les conditions d'utilisation"
  
• Cliquer sur scanner
  Lorsque le scan est terminé
• Clique sur Nettoyer
  L'interface de réparation s'affiche sous forme d'onglets où sont listés les éléments détectés. Tous les éléments sont sélectionnés par défaut.
• Cliquer sur Nettoyer pour lancer la suppression des éléments détectés
  Si un redémarrage est nécessaire pour compléter le nettoyage, cliquer sur OK et redémarrer le système
  Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche.
  Héberge le rapport ZHPCleaner.txt sur le site ce service de rapport en ligne
  Puis copier/coller le lien fourni dans votre prochaine réponse.

Réinitialiser les navigateurs
Télécharge reset browser sur ton Bureau
Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
Lance l'outil clique-droit > exécuter en tant qu'administrateur

Au message d'avertissement clique sur OK

Clique sur le bouton pour réinitialiser les navigateurs présent
Clique en haut sur Réinitialisation des DNS (google)
Ferme l'outil

 

Sont attendu les rapports:

ZHPFixReport

Adwcleaner.txt

ZHPCleaner.txt

[Garggle]

Bonsoir, merci de la réponse.

 

A propos de :

 

De plus il faudrait changer la façon de télécharger présence du crack HackTool.AutoKMS https://nicolascoolm...cktool-autokms/ s’agit d’un utilitaire de cracking des produits Microsoft

Faut il que je comprenne que j'ai téléchargé au mauvais endroit donc j'ai été infectée ou qu'il n'est pas toléré d'avoir des cracks ?

 

Sinon, les rapports :

ZHP Cleaner : https://framadrop.org/r/K8KrAiLN51#Cqoo/OA9AWUxcd2DWGUO920W3CGh16tjzCuJe+8BUfY=

Adw Cleaner : https://framadrop.org/r/falL_xQNcX#EwYZiUQBnbsk9sZQ53BOA/vCmWkN0iI7XeloSmcoPI4=

ZHP Fix : https://framadrop.org/r/N2WP1znzzf#FHGwQGRbftYoOp+HnZ9VJThJxs2V9HsSucwFuan/RNo=

 

Alors quand j'ai exécuté Reset Browser je n'ai pas eu disponible "réinitialiser Firefox" mais seulement "installer Firefox". Vu qu'il était toujours installé, je ne l'ai pas réinstallé. (peut être que ça joue, j'utilise firefox 64bits)

[tomtom95]

Re,

Avoir des cracks sur son ordinateur, il ne s'installe pas tout seul.
AutoKMS c'est un Activateur illégal de Windows et/ou Office tu as lu le lien ?

Autrement les cracks et keygens sont des vecteurs de malwares et d'infections.
Prendre le temps de lire >> Le danger des cracks !.

j'ai exécuté Reset Browser je n'ai pas eu disponible "réinitialiser Firefox"

Fait le manuellement
Réinitialiser vos navigateurs manuellement:

• Internet Explorer
• Clique sur Démarrer >> panneau de configuration
• Clique sur l'icône options internet
• Clique sur l’onglet avancé >
• Clique sur rétablir les paramètres avancés
  Ensuite sur réinitialiser
• Coche la case >supprimer les paramètres personnels et sur l’onglet réinitialiser.
  Lorsque c’est fini valide par Appliquer.
  Tu peux Fermer les options internet

Mozilla Firefox
Dans la barre d'adresse de Firefox tape about:support
Sur la nouvelle page "Informations de dépannage" Va à droite en haut et clique sur "Réparer FireFox"
dans la fenêtre de confirmation qui s'ouvre cliquez sur Réparer FireFox
Firefox se ferme puis se réinitialise

 

Réinitialiser Google Chrome

Cliquer sur le menu Google Chrome en haut à droite de l'écran
Sélectionner le menu Paramètres
Puis sélectionner afficher les paramètres avancées
En bas de page cliquez sur Rétablir les valeurs par défaut des paramètres du navigateur
Puis fermer le navigateur

Redémarre le pc pour la validation des modifications.

Ensuite dis moi Comment se comporte le système par rapport aux symptômes signalés au début ?

 

[Invité Notpa]

Attention garggle,

 

Utiliser des cracks est contraire à la Charte de Zébulon, article 6. Ne t'étonnes pas si le sujet est fermé.

Pour le moment, j'attends la réponse de Tomtom95 ().

 

Notpa

[Garggle]

Re,

Alors j'ai lu le lien, je suis consciente des dangers que ça représente, ensuite j'ai toujours pris garde à ne pas chercher des crack à la petite semaine en tapant ma recherche dans google. Je l'ai fait via des sites de warez, en qui je considérais avoir confiance (relative vu le sujet tout de même). J'ai lu la page sur les exploits, j'en ai beaucoup appris, je crois être bien protégée avec les extensions que j'utilise mais c'est toujours bon à savoir et effectivement je vais continuer de lire et prendre éventuellement des dispositions à ce propos.

 

Ensuite concernant le sujet de départ, j'ai réinitialisé firefox et internet explorer.

 

 

Ensuite dis moi Comment se comporte le système par rapport aux symptômes signalés au début ?

Je n'ai pas grand chose à dire car je suis venue parce qu'on m'a dit de venir depuis le forum software (où j'avais posé les bases de mon problème en disant que j'avais juste été infectée et que je pensais avoir résolu le problème puis je posais une question déconnectée de cette histoire d'infection). Donc je n'avais pas de symptômes apparents, pas plus que maintenant.

 

Le seul problème que j'ai c'est qu'il m'est impossible de choisir firefox comme navigateur par défaut dans les paramètres windows 10, firefox n'apparaît même pas dans les choix)

Je pense donc que ce problème est à traiter dans un autre forum.

Si tu confirmes on peut en finir là.

 

Je te remercie grandement pour l'aide !

[tomtom95]

Hello Notpa,

Les cracks :
HackTool.WinActivator
HackTool.AutoKMS
Ils sont supprimés,

À part Microsoft Office qui doit être cracker, on est avec un Windows 10 légal.

On peut finir cette désinfection.

[Garggle]

Attention garggle,

 

Utiliser des cracks est contraire à la Charte de Zébulon, article 6. Ne t'étonnes pas si le sujet est fermé.

Pour le moment, j'attends la réponse de Tomtom95 ().

 

Notpa

 

Noté, merci de la clarification (j'ai donné mon état d'esprit dans le post précédent, je vous laisse juge)

[tomtom95]

Re,

Comme tu as pu le lire il n'y a pas de petit ou de grands cracks (ils sont tous source d'infection)
De plus il existe des alternatives légales et gratuites qui évitent d'utiliser des solutions potentiellement dangereuses.

Pour ton navigateur tu peux essayer de le réinstaller

Autrement oui retourne sur ton premier sujet .

Voici le reste pour terminé cette désinfection.

• Vous allez supprimer les outils et Important purger la restauration.
  Téléchargez DelFix (de Xplode) sur ton Bureau
  
• Cochez les cases :
  supprimer les outils de désinfection
  Purger la restauration système
• Validez sur Exécuter
• Laissez travailler l'outil
  Un rapport s'ouvre Copie/colle le rapport obtenu
  Delfix ce supprime automatiquement
  Le rapport ce trouve aussi sur a la base du lecteur C\Defix.txt
• Hébergez le rapport Defix.txt sur le site ce site d'hébergement de fichiers
  Puis copier/coller le lien fourni dans votre prochaine réponse.

Quelques conseils et préventions:
D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant
Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
Bien lire les accords de licence avant toute installation.
prend quelques instants pour lire,

Lisez d'abord cliquez après !!!
Stop les publicités intempestives, programmes parasites et adwares
Attention Repack de logiciel (Repacking)
OU Les sites de téléchargements qui repackent
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net..
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring),
Votre PC se retrouve avec des programmes ou barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Lire Les PUPs/LPIs
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.


Il est important de tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Sauvegarder régulièrement les données personnelles sur un support externe.
Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player.
Avec l'outil SX Check&Update de igor51
De maintenir son antivirus à jour et analyser le système régulièrement, même chose avec un scan avec Malwarebytes.

Au niveau de Firefox et Chrome vous pouvez sécuriser votre navigation
Firefox
Chrome


Comment tester sa vigilance pour ne pas se faire infecter par des programmes néfastes pendant l'installation d'un logiciel
Tester l'outil Prévention Pour éviter les problèmes d'infection

• Télécharge Adware Prevention (de guigui0001) sur ton bureau.
• Lance-le clique-droit > exécuter en tant qu'administrateur
• Cet outil va simuler une installation bourrée d'adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
• A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
• Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !
  Tutoriel en images

Après avoir posté le rapport DELFIX Vous pouvez marquer votre sujet comme résolu

Vous pouvez marquer votre sujet comme résolu
Voici comment faire


Dans le premier message de ton sujet,En bas clique sur Modifier
Dans l'éditeur qui s'ouvre,En bas clique sur Utiliser l'éditeur complet
Dans la fenêtre du titre du sujet , ajoute [Résolu].
Clique sur le bouton Enregistrer le message modifié pour valider.

 

[tomtom95]

Oublie:

Lien de téléchargement de Firefox
Pour tous les systèmes https://www.mozilla.org/en-US/firefox/all/