Infecté par Coupon Server 2014-12-12T17:04:13+00:00
  • Auteur
    Messages
  • IP2502
    Nombre d'articles : 0

    Bonjour à tous,

    Voila, je suis infecté depuis quelques jours par coupon server. J’ai alors télécharger :
    – Ccleaner
    – Malwarebytes
    -Adwcleaner
    -Yac

    Enfin bon, vous l’aurez compris, j’ai sorti l’armada, mais rien n’y fait, malgrés tout, coupon server est toujours dans la place ! (Pip Pip !)
    Ce qui entraine des pubs intempestives, un ralentissement de l’ordinateur et de la connexion, et une irritation cutanné chez le propriètaire de l’ordinateur. Malgrés tout les nettoyages, et le fait que Yac detecte coupon server, ce dernier est toujours présent lors du redémarrage.

    Voici le rapport adwcleaner :
    # AdwCleaner v4.105 – Rapport créé le 12/12/2014 à 16:23:39
    # Mis à jour le 08/12/2014 par Xplode
    # Database : 2014-12-08.2 [Live]
    # Système d’exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d’utilisateur : PapaMamanLola – FAMILLE*******
    # Exécuté depuis : C:UsersPapaMamanLolaDownloadsadwcleaner_4.105.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    [!] Dossier Supprimé : C:Program Files (x86)Elex-tech
    Dossier Supprimé : C:UsersPapaMamanLolaAppDataRoamingElex-tech

    ***** [ Tâches planifiées ] *****

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    Clé Supprimée : HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstalliSafe

    ***** [ Navigateurs ] *****

    -\ Internet Explorer v11.0.9600.17496

    -\ Mozilla Firefox v34.0.5 (x86 en-US)

    -\ Google Chrome v31.0.1650.63

    [C:UsersPapaMamanLolaAppDataLocalGoogleChromeUser DataDefaultpreferences] – Supprimée [Extension] : dmcecclamecbinmplcolhaljlclhbgah

    *************************

    AdwCleaner[R0].txt – [20852 octets] – [13/03/2014 16:20:44]
    AdwCleaner[R1].txt – [13107 octets] – [01/11/2014 20:53:13]
    AdwCleaner[R2].txt – [2732 octets] – [10/12/2014 17:30:17]
    AdwCleaner[R3].txt – [1671 octets] – [10/12/2014 18:19:27]
    AdwCleaner[R4].txt – [2606 octets] – [11/12/2014 17:15:32]
    AdwCleaner[R5].txt – [1933 octets] – [12/12/2014 16:20:28]
    AdwCleaner[S0].txt – [19905 octets] – [13/03/2014 16:22:51]
    AdwCleaner[S1].txt – [12843 octets] – [01/11/2014 21:01:35]
    AdwCleaner[S2].txt – [2713 octets] – [10/12/2014 17:34:36]
    AdwCleaner[S3].txt – [2462 octets] – [11/12/2014 17:18:31]
    AdwCleaner[S4].txt – [1672 octets] – [12/12/2014 16:23:39]

    ########## EOF – C:AdwCleanerAdwCleaner[S4].txt – [1732 octets] ##########

    Voici le rapport Malwarebytes

    < ?xml version="1.0" encoding="UTF-16"?>

    2014/12/12 16:32:44 +0100

    mbam-log-2014-12-12 (16-32-17).xml

    yes

    2.00.4.1028

    v2014.12.12.04

    v2014.12.08.03

    premium

    enabled

    enabled

    enabled

    Windows 7 Service Pack 1

    x64

    PapaMamanLola

    NTFS

    threat

    completed

    339684

    0

    0

    0

    0

    0

    0

    0

    0

    enabled

    enabled

    enabled

    enabled

    enabled

    disabled

    enabled

    enabled enabled

    Voila, j’espere ne pas avoir fait d’erreur, n’hésitez pas à me dire au cas ou !

    Merci d’avance en tout cas pour votre aide !

    Bon weekend !

  • Anonyme
    Nombre d'articles : 0

    Hello :hello: ,

    Bienvenue sur SosVirus :welcome:

    Désinstalle YAC

    Nous allons effectuer un diagnostique de ton ordinateur :

    • Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
    • Installe le logiciel.
    • Lance ZHPDiag, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clic sur Complet

      Note : Ne pas fermer le programme même si il est indiqué qu’il ne répond plus.

    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt à été créé.
    • Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  • IP2502
    Nombre d'articles : 0

    Bonjour,

    Merci pour votre réponse !

    Voici mon lien zhp :

    https://antimalware.top/www/?a=d&i=CMWwOahdpy” onclick=”window.open(this.href);return false;

    Cependant, je n’ai pu désinstaller Yac, je ne le trouve pas dans le menu de suppression des programmes…

    En attendant votre réponse,

    Bonne journée

  • Anonyme
    Nombre d'articles : 0

    :hello:

    Ok pour YAC

    • Télécharge MalwareBytes
    • Procède à l’installation de celui çi Décocher “Activer l’essai gratuit de Malwarebytes Anti-Malware Premium”
    • Clic sur Mettre à jour (à droite, au centre)
    • Clic sur Examen (en haut)
    • Sélectionne Examen “Menaces”
    • Clic sur Examiner maintenant

    • A la fin du scan clic sur Tout mettre en quarantaine !
    • Clic sur Copier dans le Presse-papiers
    • Un rapport va s’ouvrir. Copie/Colle son contenue dans ta prochaine réponse.
  • IP2502
    Nombre d'articles : 0

    Malwarebytes Anti-Malware
    http://www.malwarebytes.org

    Date de l’examen: 17/12/2014
    Heure de l’examen: 11:13:24
    Fichier journal: Malwarebytes Anti-Malware17122014.txt
    Administrateur: Oui

    Version: 2.00.4.1028
    Base de données Malveillants: v2014.12.17.01
    Base de données Rootkits: v2014.12.14.01
    Licence: Premium
    Protection contre les malveillants: Activé(e)
    Protection contre les sites Web malveillants: Désactivé(e)
    Auto-protection: Activé(e)

    Système d’exploitation: Windows 7 Service Pack 1
    Processeur: x64
    Système de fichiers: NTFS
    Utilisateur: PapaMamanLola

    Type d’examen: Examen “Menaces”
    Résultat: Terminé
    Objets analysés: 342020
    Temps écoulé: 24 min, 46 sec

    Mémoire: Activé(e)
    Démarrage: Activé(e)
    Système de fichiers: Activé(e)
    Archives: Activé(e)
    Rootkits: Activé(e)
    Heuristique: Activé(e)
    PUP: Activé(e)
    PUM: Activé(e)

    Processus: 0
    (Aucun élément malicieux detecté)

    Modules: 0
    (Aucun élément malicieux detecté)

    Clés du Registre: 1
    PUP.Optional.FrameWorkBHO.A, HKLMSOFTWARECLASSESCLSID{CACB139B-7C2C-4A99-A4EE-72449D0FF549}, , [1d002b384d2fb87ebab4399410f27987],

    Valeurs du Registre: 0
    (Aucun élément malicieux detecté)

    Données du Registre: 0
    (Aucun élément malicieux detecté)

    Dossiers: 0
    (Aucun élément malicieux detecté)

    Fichiers: 0
    (Aucun élément malicieux detecté)

    Secteurs physiques: 0
    (Aucun élément malicieux detecté)

    (end)

    Et voila…

  • Anonyme
    Nombre d'articles : 0
    • Séléctionne et copie le script suivant :

      Script ZHPFix
      G2 - GCE: Preference [User DataDefault] [dmcecclamecbinmplcolhaljlclhbgah] Coupon Server v.1.1, (Activé) =>PUP.CouponServer
      G2 - EXT: C:UsersPapaMamanLolaAppDataLocalGoogleChromeUser DataDefaultExtensionsdmcecclamecbinmplcolhaljlclhbgah [Coupon Server] =>PUP.CouponServer
      R3 - URLSearchHook: (no name) [64Bits] - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} . (.Skype - Skype Web Plugin.) (No version) -- (.not file.)
      O1 - Hosts: 54.225.95.126 dmcecclamecbinmplcolhaljlclhbgah =>PUP.CouponServer
      O2 - BHO: DigiSAvver [64Bits] - {B0E57D34-F7E3-213B-E041-DDD5ECCCBF7D} Clé orpheline =>PUP.DiGiSaver
      O2 - BHO: DiScoounatEExttensi [64Bits] - {BA348246-0F5F-08F1-1AEB-F77A304A649A} Clé orpheline =>PUP.DiscountExtens
      O4 - HKUSS-1-5-21-1184244017-3352117794-1174707278-1001..Run: [AdobeBridge] Clé orpheline
      O4 - HKUSS-1-5-21-1184244017-3352117794-1174707278-1001..RunOnce: [Adobe Speed Launcher] 1418791616
      O4 - HKCU..RunOnce: [Adobe Speed Launcher] 1418791616
      O17 - HKLMSystemCCSServicesTcpip..{04F2554A-1FFC-43B2-82C9-D9E568E4C44B}: DhcpNameServer = 212.27.40.240 212.27.40.241
      O17 - HKLMSystemCS1ServicesTcpip..{04F2554A-1FFC-43B2-82C9-D9E568E4C44B}: DhcpNameServer = 212.27.40.240 212.27.40.241
      O17 - HKLMSystemCS2ServicesTcpip..{04F2554A-1FFC-43B2-82C9-D9E568E4C44B}: DhcpNameServer = 212.27.40.240 212.27.40.241
      O17 - HKLMSystemCCSServicesTcpipParameters: DhcpNameServer = 212.27.40.240 212.27.40.241
      [MD5.00000000000000000000000000000000] [APT] [{13F7C8CF-5BDC-4FB2-BA4B-720B542E5532}] (...) -- F:kurulum cdSetup.exe (.not file.) [0]
      [MD5.00000000000000000000000000000000] [APT] [{7BBDF7DC-2277-49EB-BD86-09754CEE3593}] (...) -- C:UsersPapaMamanLolaDownloadsuninstall.exe (.not file.) [0]
      [HKCUSoftware45960InstEnd]
      [HKCUSoftwareDnldstr_Aggregator]
      O43 - CFD: 18/02/2014 - 00:10:22 - [] ----D C:ProgramData34BE82C4-E596-4e99-A191-52C6199EBF69
      O45 - LFCP:[MD5.7F4C10ECCF12585767124D5ADC637A77] - 15/12/2014 - 19:01:43 ---A- - C:WindowsPrefetchASWOFFERTOOL.EXE-90180C34.pf =>PUP.Nosibay
      O45 - LFCP:[MD5.D79F1C47DA9BE7A8FD2A5A54C2D8E3CE] - 12/12/2014 - 08:42:25 ---A- - C:WindowsPrefetchISAFE.EXE-8FF402A6.pf =>Trojan.Staser
      O45 - LFCP:[MD5.4277D79D49A9D5A00CE8F6A278B88D73] - 12/12/2014 - 12:51:57 ---A- - C:WindowsPrefetchISAFESVC2.EXE-7A948BFC.pf =>Trojan.Staser
      O45 - LFCP:[MD5.FACFFF79941B6DB4C3A036A5EF880958] - 12/12/2014 - 10:48:44 ---A- - C:WindowsPrefetchISAFETHLP.EXE-1851603E.pf =>Trojan.Staser
      O45 - LFCP:[MD5.0A6F4FB89B012ACD5DF07A99FD0E7B18] - 12/12/2014 - 12:51:55 ---A- - C:WindowsPrefetchISAFETHLP64.EXE-4BB01B40.pf =>Trojan.Staser
      O45 - LFCP:[MD5.62CCB0CABCAC1A1410AE839E52AF9C6A] - 12/12/2014 - 12:51:57 ---A- - C:WindowsPrefetchISAFETRAY.EXE-7465A95E.pf =>Trojan.Staser
      O61 - LFC: 11/12/2014 - 06:12:41 ---A- . (.Elex do Brasil Participações Ltda.) -- C:UsersPapaMamanLolaDownloadsyet_another_cleaner_sk.exe [783096] =>PUP.YetAnotherCleaner
      O61 - LFC: 11/12/2014 - 06:12:41 ---A- . (.Enigma Software Group USA, LLC..) -- C:UsersPapaMamanLolaDownloadsSpyHunter-Installer.exe [2998656] =>Crapware.SpyHunter
      [HKCRCLSID{3BDB28B6-0521-4D80-BB7C-E2A47BECC0E1}] (Coupon Server) =>PUP.CouponServer
      [HKCRCLSID{9C409C94-11D2-E2D8-4482-501163A319A6}] (SurF and keep) =>Adware.SurfAndKeep
      [HKCRCLSID{CACB139B-7C2C-4A99-A4EE-72449D0FF549}] (Coupon Server) =>PUP.CouponServer
      [HKCRCLSID{EB6E02AE-8DC0-F995-1672-0B9134250E6B}] (SearchNewTab) =>Adware.FastSaveApp
      [HKCRCLSID{F27C43BA-6CF3-6E1F-5AFE-4E097EB640E0}] (YoutubeAdblocker) =>PUP.Multiplug
      [HKLMSoftwareGoogleChromeExtensionsdmcecclamecbinmplcolhaljlclhbgah] =>PUP.CouponServer^
      [HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{B0E57D34-F7E3-213B-E041-DDD5ECCCBF7D}] =>PUP.DiGiSaver^
      [HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{BA348246-0F5F-08F1-1AEB-F77A304A649A}] =>PUP.DiscountExtens^
      [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalluTorrent] =>P2P.BitTorrent^
      [HKLMSoftwareMicrosoftShared ToolsMSConfigstartupregmobilegeni daemon] =>PUP.Mobogenie^
      [HKLMSoftwareMicrosoftShared ToolsMSConfigstartupregSweetIM] =>PUP.SweetIM^
      C:UsersPapaMamanLolaAppDataLocalGoogleChromeUser DataDefaultExtensionsdmcecclamecbinmplcolhaljlclhbgah =>PUP.CouponServer^
      C:Program Files (x86)SearchNewTab =>Adware.FastSaveApp^
      C:ProgramDataInstallMate =>PUP.Tarma^
      C:UsersPapaMamanLolaAppDataRoaminguTorrent =>P2P.µTorrent^
      [HKCUSoftwareBitTorrent] =>P2P.BitTorrent^
      [HKCUSoftwareBrowserOptout] =>PUP.Dealply^
      [HKLMSoftwareWow6432NodeBrowserOptout] =>PUP.Dealply^
      [HKCRCLSID{3BDB28B6-0521-4D80-BB7C-E2A47BECC0E1}] (Coupon Server) =>PUP.CouponServer^
      [HKCRCLSID{9C409C94-11D2-E2D8-4482-501163A319A6}] (SurF and keep) =>Adware.SurfAndKeep^
      [HKCRCLSID{CACB139B-7C2C-4A99-A4EE-72449D0FF549}] (Coupon Server) =>PUP.CouponServer^
      [HKCRCLSID{EB6E02AE-8DC0-F995-1672-0B9134250E6B}] (SearchNewTab) =>Adware.FastSaveApp^
      [HKCRCLSID{F27C43BA-6CF3-6E1F-5AFE-4E097EB640E0}] (YoutubeAdblocker) =>PUP.Multiplug^
      C:UsersPapaMamanLolaDownloadscacaoweb.exe =>PUP.CacaoWeb
      firewallraz
      emptyclsid
      emptyprefetch
      EmptyCLSID
      Emptytemp
      EmptyFlash
      ShortcutFix
    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur “GO

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Copie le contenu du rapport ZHPFixReport sur Paste And Furious, puis copie/colle le lien généré dans ta prochaine réponse.
      -> Tuto Paste And Furious : tutoriel-paste-and-furious-t104985.html
  • IP2502
    Nombre d'articles : 0

    Bonsoir,

    Voici le rapport !

    http://pasteandfurious.com/2/” onclick=”window.open(this.href);return false;

    Est ce que sa veut dire que coupon server est erradiqué ?

  • Anonyme
    Nombre d'articles : 0

    Est ce que sa veut dire que coupon server est erradiqué ?

    On va faire un dernier scan pour le vérifier 😉

    • Désactive ton antivirus le temps du téléchargement et de l’utilisation.
    • Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau.
    • Ferme ton navigateur
    • Fais un double clique sur l’icône pour le lancer
      Note: Clique droit sur l’icône puis Exécuter en tant qu’administrateur sous Windows Vista, Seven et Windows 8
    • Accepte “les conditions d’utilisation
    • Clique sur Scanner

    Note: Durant le scan, si l’outil te demande “Avez-vous installé ce proxy ?” et que tu n’en as pas installé, clique sur “Non” ou “Voulez-vous remplacer la page d’accueil ?, clique sur “Non

  • IP2502
    Nombre d'articles : 0

    http://www.pasteandfurious.com/35/” onclick=”window.open(this.href);return false;

    Voici le résultat, d’aprés mon interprétation, plus de trace de coupon server, ai-je raison ?

  • Anonyme
    Nombre d'articles : 0

    non plus de coupon server , reste juste des traces d’adwares que tu vas effacer comme suit :

    • Execute ZHPCleaner
    • Ferme ton navigateur
    • Clique sur Réparer

    Note: Durant le nettoyage, si l’outil te demande “Avez-vous installé ce proxy ?” et que tu n’en as pas installé, clique sur “Non” ou “Voulez-vous remplacer la page d’accueil ?, clique sur “Oui

Le sujet ‘Infecté par Coupon Server’ est fermé à de nouvelles réponses.