infection saveron 2014-09-01T11:35:43+00:00
  • Auteur
    Messages
  • Jow
    Participant
    Nombre d'articles : 20

    Salut, je suis nouvelle sur ce forum et loin d’être une lumière en informatique.
    j’ai une nouvelle machine et ai installé quelques logiciels, qui ont dû être l’occasion de m’infecter…
    Sur google, j’ai plein de lien proposés par Saveron, qui me redirigent surtout vers Ask, et j’avais des soucis avec un truc du même genre qui s’appelait Browser qqc… mais il semble que ce ne soit plus le cas…

    Merci beaucoup pour votre aide <3<3

    J’ai scanner avec
    – Adwcleaner: Rapport :
    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%system32shell32.dll,-21769
    IconResource=%SystemRoot%system32imageres.dll,-183

    – Malwarebytes
    Malwarebytes Anti-Malware
    http://www.malwarebytes.org” onclick=”window.open(this.href);return false;

    Protection, 01/09/2014 12:46:43, SYSTEM, PC-ARCHI, Protection, Malware Protection, Starting,
    Protection, 01/09/2014 12:46:43, SYSTEM, PC-ARCHI, Protection, Malware Protection, Started,
    Protection, 01/09/2014 12:46:43, SYSTEM, PC-ARCHI, Protection, Malicious Website Protection, Starting,
    Protection, 01/09/2014 12:46:44, SYSTEM, PC-ARCHI, Protection, Malicious Website Protection, Started,
    Update, 01/09/2014 12:46:52, SYSTEM, PC-ARCHI, Manual, Rootkit Database, 2014.2.20.1, 2014.8.21.1,
    Update, 01/09/2014 12:46:57, SYSTEM, PC-ARCHI, Manual, Malware Database, 2014.3.4.9, 2014.9.1.1,
    Protection, 01/09/2014 12:46:59, SYSTEM, PC-ARCHI, Protection, Refresh, Starting,
    Protection, 01/09/2014 12:46:59, SYSTEM, PC-ARCHI, Protection, Malicious Website Protection, Stopping,
    Protection, 01/09/2014 12:46:59, SYSTEM, PC-ARCHI, Protection, Malicious Website Protection, Stopped,
    Protection, 01/09/2014 12:47:02, SYSTEM, PC-ARCHI, Protection, Refresh, Success,
    Protection, 01/09/2014 12:47:02, SYSTEM, PC-ARCHI, Protection, Malicious Website Protection, Starting,
    Protection, 01/09/2014 12:47:02, SYSTEM, PC-ARCHI, Protection, Malicious Website Protection, Started,
    Protection, 01/09/2014 13:14:26, SYSTEM, PC-ARCHI, Protection, Malware Protection, Starting,
    Protection, 01/09/2014 13:14:26, SYSTEM, PC-ARCHI, Protection, Malware Protection, Started,
    Protection, 01/09/2014 13:14:26, SYSTEM, PC-ARCHI, Protection, Malicious Website Protection, Starting,
    Protection, 01/09/2014 13:14:28, SYSTEM, PC-ARCHI, Protection, Malicious Website Protection, Started,

    (end)

    – ZHPDiag
    Rapport de ZHPFix 2014.8.3.6 par Nicolas Coolman, Update du 03/08/2014
    Fichier d’export Registre :
    Run by Joëlle at 01/09/2014 13:25:53
    High Elevated Privileges : OK
    Windows 8 Home Premium Edition, 64-bit Service Pack 1 (9600)

    Corbeille vidée (00mn 06s)

    ========== Valeurs du Registre ==========
    ProxyFix : Configuration proxy supprimée avec succès
    SUPPRIMÉ ProxyServer Value
    SUPPRIMÉ ProxyEnable Value
    SUPPRIMÉ EnableHttp1_1 Value
    SUPPRIMÉ ProxyHttp1.1 Value
    SUPPRIMÉ ProxyOverride Value

    ========== Récapitulatif ==========
    6 : Valeurs du Registre

    End of clean in 00mn 06s

    ========== Chemin de fichier rapport ==========
    C:UsersJoëlleAppDataRoamingZHPZHPFix[R1].txt – 01/09/2014 13:25:59 [654]

    J’ai aussi fais la manip proposée sur votre site (topic52596.html) et voici le rapport…
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{2EA5DD76-501D-0A84-4349-6EC2B04DA98C} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{2EA5DD76-501D-0A84-4349-6EC2B04DA98C} not found.
    Registry key HKEY_LOCAL_MACHINESoftwareClassesCLSID{2EA5DD76-501D-0A84-4349-6EC2B04DA98C} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{2EA5DD76-501D-0A84-4349-6EC2B04DA98C} not found.
    Registry key HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{2EA5DD76-501D-0A84-4349-6EC2B04DA98C} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{2EA5DD76-501D-0A84-4349-6EC2B04DA98C} not found.
    Registry key HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtSettings{2EA5DD76-501D-0A84-4349-6EC2B04DA98C} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{2EA5DD76-501D-0A84-4349-6EC2B04DA98C} not found.
    Registry key HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{E4A29637-5CD5-D05F-29F7-7E02542B7EE7} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{E4A29637-5CD5-D05F-29F7-7E02542B7EE7} not found.
    Registry key HKEY_LOCAL_MACHINESoftwareClassesCLSID{E4A29637-5CD5-D05F-29F7-7E02542B7EE7} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{E4A29637-5CD5-D05F-29F7-7E02542B7EE7} not found.
    Registry key HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{E4A29637-5CD5-D05F-29F7-7E02542B7EE7} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{E4A29637-5CD5-D05F-29F7-7E02542B7EE7} not found.
    Registry key HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtSettings{E4A29637-5CD5-D05F-29F7-7E02542B7EE7} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{E4A29637-5CD5-D05F-29F7-7E02542B7EE7} not found.
    Registry key HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{FBCAE03C-9230-8ABA-AB8B-335B2FDE7C0F} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{FBCAE03C-9230-8ABA-AB8B-335B2FDE7C0F} not found.
    Registry key HKEY_LOCAL_MACHINESoftwareClassesCLSID{FBCAE03C-9230-8ABA-AB8B-335B2FDE7C0F} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{FBCAE03C-9230-8ABA-AB8B-335B2FDE7C0F} not found.
    Registry key HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{FBCAE03C-9230-8ABA-AB8B-335B2FDE7C0F} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{FBCAE03C-9230-8ABA-AB8B-335B2FDE7C0F} not found.
    Registry key HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtSettings{FBCAE03C-9230-8ABA-AB8B-335B2FDE7C0F} not found.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{FBCAE03C-9230-8ABA-AB8B-335B2FDE7C0F} not found.
    ========== FILES ==========
    FileFolder C:ProgramDatasaverroni not found.
    FileFolder C:ProgramDatasaveronn not found.
    FileFolder C:ProgramDatahkplcpjdkjhdlbpaocppfjjpfmgpcmfb not found.
    ========== COMMANDS ==========

    OTL by OldTimer – Version 3.2.69.0 log created on 09012014_123802

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    salut

    Laisser travailler l’outil même s’il parait bloqué

    Désactiver temporairement l’antivirus , ou les agents de protection qu’il contient. (jusqu’au redemarrage est le mieux pour la tranquilité)
    Télécharger AdsFix ici :
    https://www.sosvirus.net/telecharger/adsfix/” onclick=”window.open(this.href);return false;
    L’ enregistrer sur le bureau, et le lancer

    cliquer sur “Nettoyer” puis laisser tourner le scan :



    Attention : il fermera les programmes en cours d’utilisation tels que IE, Firefox, Word etc…

    Si l’outil détecte un proxy et qu’aucun n’a été installé et qu’il n’y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
    Il donnera un rapport en fin d’exécution , dans C:AdsFix_xx_xx_xx_xx_xx_xx.txt (les “x” étant des chiffres), ou sur le bureau aussi.
    le pc va redemarrer
    Héberger le rapport sur Sosupload puis fournir le lien obtenu

    Note : En fin de désinfection (ET PAS AVANT) relancer l’outil et cliquer sur “Options” puis sur “Désinstaller” pour le desinstaller totalement

  • Jow
    Participant
    Nombre d'articles : 20

    Oula, il a trouvé au moins 3 proxy, et bcp de menaces….

    http://cjoint.com/?3Ibs6Qse3jZ” onclick=”window.open(this.href);return false;

    Désolée, je ne comprends pas bien de quel outil vous parlez (ADDFix?)
    En tout cas merci de votre aide

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    re

    Désactive ton antivirus

    Télécharge QuickDiag : https://www.sosvirus.net/telecharger/quickdiag/” onclick=”window.open(this.href);return false;

    Enregistre-le sur ton bureau.
    Lance-le , clique sur Quick et heberge le rapport une fois l’analyse terninée , qui se trouvera sur le bureau du nom de QuickDiag_date_heure.txt , sur Sosupload et donne le lien obtenu

    Note : une copie se trouve également dans C:

  • Jow
    Participant
    Nombre d'articles : 20

    http://cjoint.com/?3Ibs6Qse3jZ” onclick=”window.open(this.href);return false;

  • Jow
    Participant
    Nombre d'articles : 20

    vous pouvez me dire de quel programme vous parliez tout à l’heure?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    je ne comprends pas ta question :/

    tu m’as pas mis le bon rapport en lien ^^

  • Jow
    Participant
    Nombre d'articles : 20

    http://cjoint.com/?DIbu65rkVNe” onclick=”window.open(this.href);return false;
    autant pour moi, j’espère que c’est celui là…

    tout à l’heure vous avez écrit
    “Note : En fin de désinfection (ET PAS AVANT) relancer l’outil et cliquer sur “Options” puis sur “Désinstaller” pour le desinstaller totalement”
    a propos de Ads fix…

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    Ah ! oui ! c’est pour le cas ou tu rencontrerais des problemes suite à la desinfection avec l’outil ( on est à l’abri de rien ^^ ) mais bon je pense pas que ce sera le cas )

    je suis très étonné que malwarebytes n’ai pas ramassé les deux/trois trucs qu il reste….refais un scan complet en mode sans echec avec ca devrait le faire

  • Jow
    Participant
    Nombre d'articles : 20

    :E
    Désolée, je vais encore vous embêter… c’est un casse-tête chinois de démarrer un windows 8 en mode sans échec… j’atteins le menu de contrôle au démarrage, mais je n’arrive pas à appliquer la bonne option, il me fait automatiquement redémarrer en mode normal…

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    re

    fais voir la solution que tu essaies d’appliquer ?

  • Jow
    Participant
    Nombre d'articles : 20

    Sur le menu Aptio Setup, je vais dans boot
    Sécure boot, j’ai coché Enabled et disabled
    Secur doot mode standard
    Boot mode 1st Boot service [uefi windows boot mode]

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    heu ces fonctions n’ont rien à voir avec le mode sans echec , on ne touche pas au bios pour aller en mode sans echec ( tu vas planter ta machine tu vas voir….. )

    regarde ici tu as la méthode mode-sans-echec-avec-prise-charge-reseau-canned-speech-t1391.html 😉

  • Jow
    Participant
    Nombre d'articles : 20

    c’est fait, merci

    et quand j’ouvre internet, j’ai toujours les ads by saveron… :P:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    bah je t’ai pas envoyé en mode sans echec pour rien si tu regardes bien ^^

  • Jow
    Participant
    Nombre d'articles : 20

    pour ne plus être connecté à internet non?
    le logiciel a mis en quarantaine deux autres fichiers…
    et j’ai redémarré en mode normal…

  • Jow
    Participant
    Nombre d'articles : 20

    et je suis de plus en plus harcelée par une soit disant mise à jour Java,
    Sans compter trois nouveaux disques dur sur mon poste de travail qui n’existaient pas il y a 3 jours (je viens de m’en rendre compte)
    -PBR image (Y)
    -winretools (X)
    -EPS (I)

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    re

    mets à jour malwarebytes et fais un scan complet avec

  • Jow
    Participant
    Nombre d'articles : 20

    visiblement, j’ai toujours les mêmes problèmes, malgré la mise en quarantaine de nombreux fichiers…
    la mise à jour a dû être efficace…
    je suis désolée, tout ça me dépasse… :unhappy:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    re

    tu peux donner le rapport ?

  • Jow
    Participant
    Nombre d'articles : 20

    bonjour, je viens de refaire un scan et de mettre en quarantaine un nouveau fichier…
    http://cjoint.com/?DIiny0Zi7DU” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    hello c’est le rapport précédent qui m’interessait 🙁 🙂

  • Jow
    Participant
    Nombre d'articles : 20

    désolée, mais je ne l’avais pas exporté, et il ne s’était pas enregistré automatiquement sur mon bureau…
    :horror:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    regarde dans le journal de l ‘application dans l’interface , il y a moyen de l’exporter 😉

  • Jow
    Participant
    Nombre d'articles : 20

    j’espère que c’est celui là…
    http://cjoint.com/?3IjuFQdJV5p” onclick=”window.open(this.href);return false;

  • Jow
    Participant
    Nombre d'articles : 20

    :merci2: :merci2:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    bonsoir 🙂

    ôk rien de vraiment tonitruant ^^

    toujours tes soucis ?

  • Jow
    Participant
    Nombre d'articles : 20

    oui, en fait j’ai l’impression d’être toujours autant infectée, et quand je re-scanne, il continue de mettre des fichiers en quarantaine… :beaten:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    dis-m’en plus là dessus ???

  • Jow
    Participant
    Nombre d'articles : 20

    lors d’une recherche google, j’ai tjs les “ads by saveron” qui s’affichent après 1 seconde en tête de résultats.
    je suis parfois redirigée vers une autre page lors de ma navigation qui m’incitent à télécharger des mises à jour chrome, ou java, ou alors sur un site qui s’appelle powered je crois.
    et sur les page, j’ai des encadrés de pub saveron qui s’affichent… j’avais cliqué sur l’onglet option de ces pubs, et ils m’avais envoyé sur un site qui me proposait de les désactiver, je pense que c’est pour ça que j’ai des cadres vides maintenant… j’en avait aussi de powered, mais la manip avait fonctionnée…
    ce qui est rassurant, c’est que je n’ai pas de soucis pour les autres applications et logiciels (du moins rien de visible^^)

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    bonjour tu as dit :

    et quand je re-scanne, il continue de mettre des fichiers en quarantaine… :beaten:

    tu peux préciser ?
    en fait c’est là dessus que je voulais en savoir plus ^^

  • Jow
    Participant
    Nombre d'articles : 20

    là, je viens de sanner, et il me propose de mettre en quarantaine PUP.Optional.Superfish.A

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    à quel endroit il trouve ca ?

  • Jow
    Participant
    Nombre d'articles : 20

    C:UsersJoëlleAppDataLocalGoogleChromeUser DataDefaultLocal Storagehttp_www.superfish.com_0.localstorage-journal

    je crois…

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    si ton compte mail est synchronisé avec ton navigateur désynchronise-le et chrome est un ramasse-mer$e tout comme Dragon, si tu veux être tranquile utilise plutot Seamonkey ou Palemoon ou Spark je les ai pas encore vu infectés depuis que toutes ces extensions pourries sortent

  • Jow
    Participant
    Nombre d'articles : 20

    j’ai installé Sea monkey et j’ai désinstallé chrome, et apparemment je n’ai plus de problèmes
    ( en dehors de voir toutes les m***** de cookies sur fb, qui sont du coup automatiquement bloquées et qui empêchent le lancement de candy crush) <3<3
    :merci2:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    regarde les rapports d’adsfix sur internet et tu verras que c’est les seuls navigateurs ou ya jamais rien qui est supprimé ou si peu….

    tu as flash player “Plugin” installé ?

  • Jow
    Participant
    Nombre d'articles : 20

    effectivement c’était ça, merci beaucoup pour votre aide et votre gentillesse! <3<3

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    😉

    si ce n’est fait , peux faire le menage 🙂

    • Télécharge SFTGC.exe (de Pierre13) sur ton Bureau et pas ailleurs !.
    • Lance SFTGC, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clique sur GO

      Note : A la fin un rapport va s’ouvrir

    • Une fois le scan terminé rends toi sur le bureau, le fichier SFTGC.txt à été créé.
    • Héberge le rapport SFTGC.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    ===============================

    • Télécharge Delfix sur ton Bureau.
    • Lance Delfix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

    • Coche les cases suivantes :
      • Réactiver l’UAC
      • Supprimer les outils de désinfection
      • Effectuer une sauvegarde du registre
      • Purger la restauration système
      • Réinitialisation des paramètres système

    ==========================

    Sécurisation du PC des logiciels potentiellement indésirables , toolbars , etc…

    Lorsqu’on est sous Windows et qu’on adore installer tout un tas de softs étranges, il faut savoir rester vigilant. En effet, certains programmes d’install proposent durant l’installation des toolbars et autres adware qui seront difficiles par la suite à retirer de votre système.

    En général, on fait attention, et on décoche les cases qui vont bien, mais il suffit d’une fois, d’un petit coup de barre et on laisse passer la toolbar fatale.

    Mais pourquoi se prendre la tête alors qu’un petit soft peut faire le travail pour vous ?

    Télécharge : http://unchecky.com/files/unchecky_setup.exe” onclick=”window.open(this.href);return false;, un service qui tourne en tâche de fond sous Windows, qui détectera automatiquement les logiciels additionnels dans les programmes d’installation et qui décochera les cases qu’il faut pour éviter de se faire polluer.


    ==============================================

    si ce n’est fait met à jour Flash player (pour chrome il est deja intégré ) :

    No Internet Explorer :
    http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_15_plugin.exe” onclick=”window.open(this.href);return false;

    Internet Explorer :
    http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_15_active_x.exe” onclick=”window.open(this.href);return false;

    =============================================

    Adobe reader étant devenu trop peu fiable , je te conseille de le desinstaller , et pour lire les pdf , je te suggère d’utiliser plutôt SumatraPDF :

    http://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader-fr.html” onclick=”window.open(this.href);return false;

    pense à l’installation , dans les options , à cocher la case qui correspond à « utiliser SumatraPDF comme lecteur par defaut » et installer les plugins pour les navigateurs.

    [fin2desinf:gg8xd9kb][/fin2desinf:gg8xd9kb]

Le sujet ‘infection saveron’ est fermé à de nouvelles réponses.