Malware connexion sortante 2014-05-13T06:56:16+00:00
  • Auteur
    Messages
  • buckhulk
    Participant
    Post count: 2391

    de rien ça a été un plaisir !
    ^^

  • clems
    Participant
    Post count: 6

    —\ Récapitulatif des détections trouvées sur votre station
    http://nicolascoolman.byethost7.com/toolbar-conduit/” onclick=”window.open(this.href);return false; =>Toolbar.Conduit
    ~ MSI: 1 link(s) detected in 00mn 00s

    Je voulais juste savoir ce que c’etait pour ne pas le rechoper!!

    Pour ebay en fait je ne pensais pas mais il suffit de taper dans notre ami Google “malware ebay” et le résultat est édifiant !!!!!!!!! :horror:

    en tout cas merci mille fois pour ton aide précieuse!! :hello: :merci2:

  • buckhulk
    Participant
    Post count: 2391
    Pour java, je ne trouve pas dans ton lien d'info quand la version ancienne ne figure pas dans la liste windows désintallation.... :triste: 

    ICI la page

    si tu ne trouve pas , c’est peut-être juste un reste , utilise Ccleaner :

    Télécharge et laisse Ccleaner comme il est paramètré , c’est plus léger mais c’est plus sur !!!
    Onglet Nettoyeur , Analyser , puis Nettoyer, ! plusieurs fois , jusqu’à ce qu’il n’y ai plus rien
    en suite la fin tu fermes et tu redémarre ton ordinateur pour que tes paramétrages soit pris en compte !

    Une derniere chose, c'était quoi ça:

    ---\ Récapitulatif des détections trouvées sur votre station
    http://nicolascoolman.byethost7.com/toolbar-conduit/ =>Toolbar.Conduit
    ~ MSI: 1 link(s) detected in 00mn 00s

    une explication de ce qu’a trouvé le logiciel ZHPDiag !

    Pour Ebay l’important pour eux c’est l’argent , le reste….
    ne fait pas de raccourcis vers leurs pages c’est plus sur !

    maintenant tu vas passer Delfix :

    • Télécharges Delfix sur ton Bureau.
    • Lance Delfix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche la case suivantes :
      • Réactiver l’UAC
      • Supprimer les outils de désinfection
      • Effectuer une sauvegarde du registre
      • Purger la restauration système
      • Réinitialisation des paramètres système

    si tu as d’autre questions….

    voici les canned de fin :

    [fin2desinf:1af1hd4c][/fin2desinf:1af1hd4c]
    [diapo2:1af1hd4c][/diapo2:1af1hd4c]

    :bye: bonne journée

  • clems
    Participant
    Post count: 6

    Pour java, je ne trouve pas dans ton lien d’info quand la version ancienne ne figure pas dans la liste windows désintallation…. :triste:

    J’ai fais ce que tu as dit pour les navigateurs et je penses effectivement que la page du produit ebay est celle infectée.

    Cela doit être dans la partie de la page générée par le vendeur qui est en effet en chine.
    J’ai toujours ces liens dans mon ebay puisque c’est un produit que j’ai acheté.
    Je vais donc éviter de cliquer dessus car je pense effectivement que dans le code de la page cela ajoute une modification dans Firefox pour envoyer des infos sur le site chinois a propos de notre navigation au sein d’Ebay :horror:

    Cela veux dire que Ebay ne vérifie pas ses pages :D !!!!

    Une derniere chose, c’était quoi ça:

    —\ Récapitulatif des détections trouvées sur votre station
    http://nicolascoolman.byethost7.com/toolbar-conduit/” onclick=”window.open(this.href);return false; =>Toolbar.Conduit
    ~ MSI: 1 link(s) detected in 00mn 00s

    Merci beaucoup pour ton aide

    clems

  • buckhulk
    Participant
    Post count: 2391

    Pour la version de java je t’ai donné un lien regarde bien

    il faut que tu vires ce raccourcis pour Ebay c’est lui qui doit-être infecté !

    réinitialise aussi tes navigateurs :

    Réinitialisation des navigateurs

    liens divers officiels

    Firefox

    Google Chrome

    Internet Explorer

    et aussi :

    Option Internet
    Démarrer
    Panneau de configuration
    Réseau internet
    Option Internet
    Dans l’onglet général tu regardes ce qu’il y a comme moteur de recherche
    Tu effaces tout et tu met : http://www.google.com/” onclick=”window.open(this.href);return false;
    Tu supprimes l’historique de navigation et tu fait ok !

    ensuite tu me dis comment ça va ??

  • clems
    Participant
    Post count: 6

    cela a recommencé quand je suis allé sur ce produit ebay :

    http://cgi.ebay.fr/ws/eBayISAPI.dll?ViewItem&item=191081995417&var=490271932471&ssPageName=STRK:MEWNX:IT&_trksid=p3984.m1497.l2649” onclick=”window.open(this.href);return false;

    message de malwarebytes:

    Malwarebytes Anti-Malware
    http://www.malwarebytes.org

    Protection, 13/05/2014 07:17:37, SYSTEM, MAISON-PC, Protection, Malware Protection, Starting,
    Protection, 13/05/2014 07:17:37, SYSTEM, MAISON-PC, Protection, Malware Protection, Started,
    Protection, 13/05/2014 07:17:37, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, Starting,
    Protection, 13/05/2014 07:17:43, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, Started,
    Update, 13/05/2014 07:51:59, SYSTEM, MAISON-PC, Scheduler, Malware Database, 2014.5.12.8, 2014.5.13.6,
    Protection, 13/05/2014 07:52:01, SYSTEM, MAISON-PC, Protection, Refresh, Starting,
    Protection, 13/05/2014 07:52:01, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, Stopping,
    Protection, 13/05/2014 07:52:01, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, Stopped,
    Protection, 13/05/2014 07:52:06, SYSTEM, MAISON-PC, Protection, Refresh, Success,
    Protection, 13/05/2014 07:52:06, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, Starting,
    Protection, 13/05/2014 07:52:06, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, Started,
    Protection, 13/05/2014 09:46:34, SYSTEM, MAISON-PC, Protection, Malware Protection, Starting,
    Protection, 13/05/2014 09:46:34, SYSTEM, MAISON-PC, Protection, Malware Protection, Started,
    Protection, 13/05/2014 09:46:34, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, Starting,
    Protection, 13/05/2014 09:46:39, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, Started,
    Detection, 13/05/2014 11:08:48, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, IP, 60.195.249.18, http://www.sisi-business.com, 55720, Outbound, C:Program Files (x86)Mozilla Firefoxfirefox.exe,
    Detection, 13/05/2014 11:08:48, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, IP, 60.195.249.18, http://www.sisi-business.com, 55721, Outbound, C:Program Files (x86)Mozilla Firefoxfirefox.exe,
    Detection, 13/05/2014 11:08:48, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, IP, 60.195.249.18, http://www.sisi-business.com, 55720, Outbound, C:Program Files (x86)Mozilla Firefoxfirefox.exe,
    Detection, 13/05/2014 11:08:48, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, IP, 60.195.249.18, http://www.sisi-business.com, 55722, Outbound, C:Program Files (x86)Mozilla Firefoxfirefox.exe,
    Detection, 13/05/2014 11:08:48, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, IP, 60.195.249.18, http://www.sisi-business.com, 55723, Outbound, C:Program Files (x86)Mozilla Firefoxfirefox.exe,
    Detection, 13/05/2014 11:08:48, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, IP, 60.195.249.18, http://www.sisi-business.com, 55725, Outbound, C:Program Files (x86)Mozilla Firefoxfirefox.exe,
    Detection, 13/05/2014 11:08:48, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, IP, 60.195.249.18, http://www.sisi-business.com, 55726, Outbound, C:Program Files (x86)Mozilla Firefoxfirefox.exe,
    Detection, 13/05/2014 11:08:48, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, IP, 60.195.249.18, http://www.sisi-business.com, 55727, Outbound, C:Program Files (x86)Mozilla Firefoxfirefox.exe,
    Detection, 13/05/2014 11:08:48, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, IP, 60.195.249.18, http://www.sisi-business.com, 55728, Outbound, C:Program Files (x86)Mozilla Firefoxfirefox.exe,

    (end)

  • clems
    Participant
    Post count: 6

    alors:

    Voici le rapport : https://antimalware.top/www/?a=d&i=RDDt8nq3MB” onclick=”window.open(this.href);return false;

    pour le java quand je vais dans le panneau de config pour le desinstaller, je n’ai que la version 55 et pas la 40… je fais donc comment pour la desinstaller???

    Je vais faire un test en allant avant firefox sur ebay…

    Merci encore pour ton aide

  • buckhulk
    Participant
    Post count: 2391

    Déjà il faut que tu supprimes les anciennes versions de java !
    celle-ci : Java 7 Update 40 => Oracle
    supprimer les anciennes versions de java

    Je ne “vois” plus d’infection , mais tu vas passer ce script :

    • Séléctionne et copie le script suivant :

      Script ZHPFix
      ShortcutFix
      ESET Online Scanner v3 => ESET
      [MD5.D0C40876508100BE935E5FAD1E7D23FE] - (...) -- C:UsersACERAppDataLocalCloudStationbincloud.exe [3772320] [PID.2432]
      [MD5.9F8C66C7713D3C325EB94EECBD20FCD5] - (...) -- C:UsersACERAppDataLocalCloudStationbinclient-win.exe [10110424] [PID.1132]
      [MD5.76E45EE60230A1F294B8B13DA7C333BD] - (...) -- C:Program Files (x86)Opera21.0.1432.57opera_crashreporter.exe [1397880] [PID.4348] => Opera Software
      M3 - MFPP: Plugins - [ACER] -- C:UsersACERAppDataRoamingMozillaFirefoxProfilest5ub5h3p.defaultsearchpluginsutorrentbarfr-customized-web-search.xml =>Toolbar.Conduit
      M2 - MFEP: prefs.js [ACER - t5ub5h3p.defaulteDataPluginv4@multimedia-conference.com] [] Multimedia Conference Extension v4.6.1.0 (..)
      OPT:O4 - HKLM..Wow6432NodeRun: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:Program Files (x86)iTunesiTunesHelper.exe
      OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:Program FilesBonjourmDNSResponder.exe
      O42 - Logiciel: ESET Online Scanner v3 - (...) [HKLM][64Bits] -- ESET Online Scanner => ESET
      [HKCUSoftwareESET] => ESET Online Scanner
      [HKLMSoftwareWow6432NodeEset] => ESET Online Scanner
      O43 - CFD: 12/05/2014 - 21:56:31 - [] ----D C:Program Files (x86)ESET => ESET Online Scanner
      O43 - CFD: 06/04/2014 - 17:37:34 - [] ----D C:ProgramDataregid.2000-02.com.flashfxp
      O43 - CFD: 06/04/2014 - 17:37:34 - [] --H-D C:ProgramData{777DE26B-15BF-40A0-9281-1AFE590584B6}
      O58 - SDL:27/08/2012 - 18:50:58 ---A- . (.Renesas Electronics Corporation - USB 3.0 Hub Driver.) -- C:WindowsSystem32Driversrusb3hub.sys [114568]
      O58 - SDL:27/08/2012 - 18:51:00 ---A- . (.Renesas Electronics Corporation - USB 3.0 Host Controller Driver.) -- C:WindowsSystem32Driversrusb3xhc.sys [230280]
      O61 - LFC: 12/05/2014 - 10:24:51 ---A- . (.ESET.) -- C:UsersACERDesktopesetsmartinstaller_fra.exe [2347384]
      OPT:SR - | Auto 30/08/2011 462184 | (Bonjour Service) . (.Apple Inc..) - C:Program FilesBonjourmDNSResponder.exe

      ProxyFix
      EmptyPrefetch
      EmptyFlash
      SysRestore
      FirewallRAZ
      EmptyTemp

    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur “GO


      exemple :

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.

    Et tu me dis comment ça va ?
    :merci2:

  • clems
    Participant
    Post count: 6

    et voici le rapport ZHPdiag https://antimalware.top/www/?a=d&i=ULfJM3J104” onclick=”window.open(this.href);return false;

  • buckhulk
    Participant
    Post count: 2391

    :bravo1: la suite

  • clems
    Participant
    Post count: 6

    Merci pour la démarche.

    Voici le lien pour le premier rapport : https://antimalware.top/www/?a=d&i=emeNfk2LOP” onclick=”window.open(this.href);return false;

  • buckhulk
    Participant
    Post count: 2391

    bonjour clems

    on va commencer par passer Shortcut_Module et après tu me referas un ZHPDiag s’il te plait :

    • Désactive ton antivirus sinon l’outil ne pourra pas travailler convenablement.
    • Télécharge Shortcut_Module sur ton bureau.

      Note : Enregistrer votre travail avant de continuer !

    • Lance Shortcut_Module,
    • Clic sur Nettoyer

      Note : Patiente le temps du scan

    • Laisse travailler l’outil même s’il te parait bloqué
    • Si l’outil détecte un proxy que tu ne connais pas clic sur : “Supprimer le proxy
    • Héberge le rapport C:Shortcut_Module_date_heure.txt sur https://antimalware.top/” onclick=”window.open(this.href);return false; puis donne le lien obtenu

    donc ensuite :

    [center:2b0izeyn]ZHPDiag[/center:2b0izeyn]

    suis bien les instructions

    1) * Télécharge ZHPDiag (de Nicolas coolman) sur ton bureau !!

    >> ZHPDiag (de Nicolas coolman)

    miroir : ftp://zebulon.fr/ZHPDiag2.exe” onclick=”window.open(this.href);return false;

    Si ton système d’exploitation est Vista ou Win7/8, lance les logiciels par simple clic droit et choisis “exécuter en tant qu’administrateur”

    a) * Une fois le téléchargement achevé,
    b) * double clique (ou clic droit pour seven , vista et 8 exécuter en tant qu’administrateur) sur ZHPDiag2.exe et suis les instructions.
    c) * L’outil va créer 2 icônes de racourcis : ZHPDiag >> ZHPFix
    d) * Clique droit sur le parchemin
    e) *A l’ouverture le programme te proposes “Rechercher” , “Configurer” , Complet –

    Clique sur “Complet” le scan démarre…….le rapport s’affiche

    Si tu cliques sur Configurer :
    * Des icônes apparaissent en bas de la fenêtre.
    * Clique sur le tournevis en bas à droite et choisis “Tous” puis “OK”

    2)* Maintenant clique sur “Rechercher”.

    * Important >> Pendant l analyse de ton PC par ZHPDIag ne touche à plus rien !!!!!
    * Laisse l’outil travailler, il peut être assez long

    3) * Le rapport s’affiche sur ton Bureau une fois terminé !

    Tu peux fermer ZHPDiag

    IMPORTANT
    [les rapports étant trop long, les héberger :

    Rappel des dépôts

    1 : Sosupload>>Utilisation
    2 : cjoint>> Utilisation
    3 pjoint
    4 up2share
    5 FEC

    2 rapports,
    :merci2:

  • clems
    Participant
    Post count: 6

    Bonjour à tous,

    J’ai un petit soucis depuis hier.

    Lorsque je surf avec firefox sur Ebay Malwarebytes m’indique:

    Detection, 12/05/2014 11:50:04, SYSTEM, MAISON-PC, Protection, Malicious Website Protection, IP, 60.195.249.18, http://www.sisi-business.com” onclick=”window.open(this.href);return false;, 51846, Outbound, C:Program Files (x86)Mozilla Firefoxfirefox.exe,

    le port change souvent 53275,53276…..

    cela se produit uniquement avec firefox et sur le site d’Ebay.

    Après quelques recherche l’adresse ip semble etre en chine….

    Adwcleaner, Malwarebytes, esets ne détectent rien… :cry:

    seul ZHPDiag2 indique à la fin de son rapport:

    —\ Récapitulatif des détections trouvées sur votre station
    http://nicolascoolman.byethost7.com/toolbar-conduit/” onclick=”window.open(this.href);return false; =>Toolbar.Conduit
    ~ MSI: 1 link(s) detected in 00mn 00s

    Merci beaucoup pour votre aide. :)

    Je suis vraiment inquiet car je me sers de ce PC pour mon boulot…

    Clems

Le sujet ‘Malware connexion sortante’ est fermé à de nouvelles réponses.