H.A.W.X
Participant
Nombre d'articles : 1809

Bonsoir :)

Ok, fait ce qui est demandé juste au dessus avant de faire ce qui suit :)

  • Rends toi sur => upload-malware-pour-analyse.html
  • Copie la ligne suivante :
    C:UsersGwennAppDataLocalTempDMsoftwaretugs_aartemis.exe

  • Clique sur Choisir un fichier
  • Colle la ligne copié précédemment dans la zone de texte
  • Clique sur Envoyer le fichier
  • Ensuite recommence la procédure avec ces fichiers stp :
    C:UsersGwennDownloadsJava7.exe

    C:UsersGwennAppDataLocalTempjre-7u25-windows-i586-iftw.exe

Ceci est très important, grâce à tes fichiers nous serons en mesure de gérer totalement cette infection dans les outils de désinfections car la nous passons par un script :)

La suite est à faire une fois que tu as fait ce qui est au dessus ok ? :)

[hr:32mkw5r5][hr:32mkw5r5]

1.

  • A ppuies simultanément sur les touches Windows et R
  • Une fenêtre va s’ouvrir, tape ceci : notepad
  • Clic sur OK

    Note : Le bloc note va s’ouvrir

  • Copie les lignes suivantes :
    start
    () C:PROGRA~2ALLIN1~2bar1.binAppIntegrator64.exe
    MindSpark) C:PROGRA~2ALLIN1~2bar1.bin8hsrchmn.exe
    (VER_COMPANY_NAME) C:PROGRA~2ALLIN1~2bar1.bin8hbrmon.exe
    (COMPANYVERS_NAME) C:PROGRA~2ALLIN1~2bar1.bin8hbarsvc.exe
    HKLM...Run: [Allin1Convert Home Page Guard 64 bit] - C:Program Files (x86)Allin1Convert_8hbar1.binAppIntegrator64.exe [548936 2013-11-08] ()
    HKLM...PoliciesExplorer: [EnableShellExecuteHooks] 1
    HKLM-x32...Run: [] - [x]
    HKLM-x32...Run: [Allin1Convert Search Scope Monitor] - C:Program Files (x86)Allin1Convert_8hbar1.bin8hSrchMn.exe [44784 2013-11-08] (MindSpark)
    HKLM-x32...Run: [Allin1Convert_8h Browser Plugin Loader] - C:Program Files (x86)Allin1Convert_8hbar1.bin8hbrmon.exe [30096 2013-11-08] (VER_COMPANY_NAME)
    HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://home.tb.ask.com/index.jhtml?n=77FD35DB&p2=^AYY^xdm073^YYA^fr&ptb=85C2B018-F660-4E61-9258-53BF579B9D86&si=flvrunner
    HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://aartemis.com/?type=hp&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E
    HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E&q={searchTerms}
    HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://aartemis.com/?type=hp&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E
    HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://aartemis.com/?type=hp&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E
    HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.aartemis.com/web/?type=ds&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E&q={searchTerms}
    HKLMSoftwareWow6432NodeMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E&q={searchTerms}
    HKLMSoftwareWow6432NodeMicrosoftInternet ExplorerMain,Default_Page_URL = http://aartemis.com/?type=hp&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E
    HKLMSoftwareWow6432NodeMicrosoftInternet ExplorerMain,Start Page = http://aartemis.com/?type=hp&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E
    HKLMSoftwareWow6432NodeMicrosoftInternet ExplorerMain,Search Page = http://www.aartemis.com/web/?type=ds&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E&q={searchTerms}
    URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:Program Files (x86)Ask.comGenericAskToolbar.dll (Ask)
    URLSearchHook: HKCU - (No Name) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - C:Program Files (x86)Allin1Convert_8hbar1.bin8hSrcAs.dll (MindSpark)
    StartMenuInternet: IEXPLORE.EXE - C:Program FilesInternet Exploreriexplore.exe http://aartemis.com/?type=sc&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E
    SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E&q={searchTerms}
    SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF
    SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E&q={searchTerms}
    SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E&q={searchTerms}
    SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF
    SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E&q={searchTerms}
    SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&affID=120519&tt=gc_&babsrc=SP_ss&mntrId=54657071BCB95387
    SearchScopes: HKCU - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF
    SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E&q={searchTerms}
    SearchScopes: HKCU - {4C4C7AAB-5854-4241-A414-E2F1EF119C4A} URL = http://www.dnsbasic.com/?prt=dnsbsc50r1&sp=google&keywords={searchTerms}
    SearchScopes: HKCU - {D60ED358-383C-44D5-B073-B5943F067102} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=A64B7E4E-4865-4E70-8C96-049504AF0437&apn_sauid=D2264DDF-06C2-4854-A395-A555B7EDF289
    BHO-x32: Search Assistant BHO - {a4c2fb10-84c3-44eb-9f9e-860fa1d9a797} - C:Program Files (x86)Allin1Convert_8hbar1.bin8hSrcAs.dll (MindSpark)
    BHO-x32: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:Program Files (x86)Ask.comGenericAskToolbar.dll (Ask)
    BHO-x32: Toolbar BHO - {fbcbc43a-dca9-4192-a4c8-b57fd0f77d4d} - C:Program Files (x86)Allin1Convert_8hbar1.bin8hbar.dll (MindSpark)Toolbar: HKLM-x32 - Allin1Convert - {cd1a63ba-a08c-431b-9a34-f240aadc728d} - C:Program Files (x86)Allin1Convert_8hbar1.bin8hbar.dll (MindSpark)
    Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
    ShellExecuteHooks-x32: EasyBits ShellExecute Hook - {E54729E8-BB3D-4270-9D49-7389EA579090} - C:WindowsSysWow64EZUPBH~1.DLL [52920 2010-12-24] (EasyBits Software Corp.)
    CHR HomePage: hxxp://aartemis.com/?type=hp&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E
    CHR RestoreOnStartup: "hxxp://aartemis.com/?type=hp&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E"
    CHR DefaultSearchURL: (aartemis) - http://www.aartemis.com/web/?type=ds&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E&q={searchTerms}
    CHR DefaultSuggestURL: (aartemis) - "suggest_url": "",
    CHR Plugin: (Shockwave Flash) - C:Program Files (x86)GoogleChromeApplication30.0.1599.101gcswf32.dll No File
    CHR Plugin: (Silverlight Plug-In) - c:Program Files (x86)Microsoft Silverlight4.0.60831.0npctrl.dll No File
    CHR Plugin: (Default Plug-in) - default_plugin No File
    CHR Extension: (Extended Protection) - C:UsersGwennAppDataLocalGoogleChromeUser DataDefaultExtensionscekcjpgehmohobmdiikfnopibipmgnml1.3_0
    HR Extension: (Lightning Newtab) - C:UsersGwennAppDataLocalGoogleChromeUser DataDefaultExtensionsifohbjbgfchkkfhphahclmkpgejiplfo1.1.7.8_0
    CHR HKLM-x32...ChromeExtension: [aaaaojmikegpiepcfdkkjaplodkpfmlo] - C:UsersGwennAppDataLocalAPNGoogleCRXsapnorjtoolbar.crxCHR HKLM-x32...ChromeExtension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:UsersGwennAppDataLocalGoogleChromeUser DataDefaultExtensionsnewtab.crx
    CHR StartMenuInternet: Google Chrome - C:Program Files (x86)GoogleChromeApplicationchrome.exe http://aartemis.com/?type=sc&ts=1383929598&from=tugs&uid=395049983_1052515_5465981E
    R2 Allin1Convert_8hService; C:PROGRA~2ALLIN1~2bar1.bin8hbarsvc.exe [44752 2013-11-08] (COMPANYVERS_NAME)
    2013-11-08 18:37 - 2013-11-08 18:37 - 00000000 ____D C:Program Files (x86)Allin1Convert_8hEI
    2013-11-08 18:37 - 2013-11-08 18:37 - 00000000 ____D C:Program Files (x86)Allin1Convert_8h
    2013-11-08 17:54 - 2013-11-08 18:07 - 00000000 ____D C:ProgramDataeSafe
    2013-11-08 17:54 - 2013-11-08 18:05 - 00000000 ____D C:Program Files (x86)MyPC Backup
    2013-11-08 17:53 - 2013-11-08 18:07 - 00000000 ____D C:UsersGwennAppDataLocalLollipop
    2013-11-08 18:37 - 2013-11-08 18:37 - 00000000 ____D C:Program Files (x86)Allin1Convert_8hEI
    2013-11-08 18:37 - 2013-11-08 18:37 - 00000000 ____D C:Program Files (x86)Allin1Convert_8h
    2013-11-08 18:07 - 2013-11-08 17:54 - 00000000 ____D C:ProgramDataeSafe
    2013-11-08 18:07 - 2013-11-08 17:53 - 00000000 ____D C:UsersGwennAppDataLocalLollipop
    2013-11-08 18:05 - 2013-11-08 17:54 - 00000000 ____D C:Program Files (x86)MyPC Backup
    end

  • Retourne dans le bloc note puis colle les lignes copiées.
  • Clic sur Fichier, puis Enregistrer sous …, nomme le fixlist.txt et enregistre le sur ton bureau !
  • Rends toi sur le bureau, Lance FRST, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
  • Clic sur Fix

    Note : Patiente le temps de la suppression

  • Une fois le scan terminé rends toi sur le bureau, deux rapports Fixlog.txt a été créé.
  • Héberge le rapport Fixlog.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse

2.

  • Télécharge MalwareBytes
  • Procède à l’installation de celui çi Décocher “Activer l’essai gratuit de Malwarebytes Anti-Malware PRO”
  • Sélectionne Examen complet
  • Clic sur Rechercher
  • Supprime tout les éléments trouvés !
  • Poste le rapport sur le forum

3.

  • Télécharges Adwcleaner (de Xplode) sur ton Bureau !
  • Fais clic droit dessus, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    1. Choisi l’option Scanner
    2. Choisi l’option Nettoyer
  • Accepte l’avertissement en cliquant sur OK

  • Acceptes les avertissements/informations en cliquant sur OK
  • Copie et Colle le contenu du rapport qui apparaît au redémarrage du PC

Comme déjà dit tu as d’autres infections donc applique bien ces procédures, si tout ce passe bien demain c’est fini :)