FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[poisson fa]

Bonjour à tous,

visiblement les infections Awesome prolifèrent dans nos ordis... je croyais être vigilant, et pourtant je me suis fait avoir.
J'ai donc suivi les procédures indiquées sur les autres posts, et voici le lien de mon diagnostic : http://cjoint.com/?DAEpWhVNJ0F

Je suis sous firefox, j'ai tenté d'éradiquer awesome de plusieurs manières, mais rien n'y a fait.

Merci d'avance pour votre aide.

Olive de Sète

[2011N2]

Bonjour,



Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Il est possible que les raccourcis pour ouvrir tes navigateurs soient supprimés ; ce n'est pas grave, il te suffira de les recréer en faisant clic droit = Créer un raccourci.

Gabriel.

[poisson fa]

Merci, voici le rapport http://cjoint.com/?DAEsFlCEktH
A noter que lorsque ZHPFix a travaillé, firefox s'est fermé tout seul.
Lorsque je l'ai rouvert il m'a affiché les onglets précédemment ouverts et a ajouté une page vierge au bel entête de Awesome...

Une seconde d'inattention, des heures de galère...

[2011N2]

Re,

Fais un examen complet sur tous les disques avec MBAM. Tu supprimeras tous les éléments détectés et me posteras le rapport : http://www.forum-entraide-informatique. ... m-tutoriel

Pendant que MBAM tourne, tu réinitialiseras Firefox comme ceci : http://www.forum-entraide-informatique. ... la-firefox

Gabriel.

[poisson fa]

Et bien quelle aventure !
Merci pour ce soutien.

Dommage collatéral : hier ZHPFix a supprimé mon icône Foxmail de mon dossier Foxmail, le raccourci du menu démarrer n'ouvrait pas Foxmail, j'ai donc redémarré pour voir s'il se mettait en route au démarrage (mon Foxmail est configuré pour démarrer tout seul lorsque j'allume l'ordi), mais non, le désert total, j'ai donc dû le télécharger à nouveau et le réinstaller.

J'ai réinitialisé Firefox et fait tourner malware (que j'avais déjà fait tourner hier et qui n'avait rien changé au problème)

Awesome est toujours là, et moi je suis las...

Voici le rapport du jour, il est court :

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2014.01.31.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Olivier :: PC_POISSON_FA [administrateur]

Protection: Désactivé

31/01/2014 10:46:11
MBAM-log-2014-01-31 (11-19-08) Poisson Fa.txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 265583
Temps écoulé: 27 minute(s), 13 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Documents and Settings\Olivier\Local Settings\Temp\ICReinstall_fm70chb1_85_fr.exe (PUP.Optional.01Net.A) - Aucune action effectuée.
C:\Documents and Settings\Olivier\Mes documents\Téléchargements\fm70chb1_85_fr.exe (PUP.Optional.01Net.A) - Aucune action effectuée.

(fin)

[2011N2]

Bonjour,

D'accord.

Awesomehp est toujours présent sur quel(s) navigateur(s) ?

Fais-moi un nouveau rapport ZHPDiag.

Gabriel.

[poisson fa]

Bonjour !

une étape par jour, cela nous mènera vers l'éternité...

awesome est présent sur firefox, le seul navigateur que j'utilise.
Je l'ai supprimé des moteurs de recherche enregistrés mais ça ne l'empêche pas de continuer à s'incruster. auparavant, lorsque que j'avais un firefox ouvert, lorsque je double cliquais à nouveau sur l'icone firefox, cela ouvrait un deuxième navigateur (et c'est ce que je souhaite). Depuis que awesome s'est incrusté, lorsque je fais cette même manip, c'est simplement un onglet supplémentaire qui s'ajoute au firefox déjà ouvert, (avec awesome en page d'accueil of course). Je dis cela uniquement si cela peut aider au diagnostic.

Voici le diag du jour comme demandé
http://cjoint.com/?DBbpBm4jVwq

Merci encore pour le soutien

[2011N2]

Bonsoir,

Si tu es pressé, tu formates, certes ça prend une journée entière mais au moins ce sera bon en une journée.

Refais ZHPFix avec ces lignes, et poste le rapport.

Puis passe Shortcut_Module et poste le rapport : http://www.forum-entraide-informatique. ... e-tutoriel

Gabriel.

[poisson fa]

Bonjour Gabriel,

je ne découvre ton message qu'à l'instant, je n'avais pas reçu de notification.
Je suis très en colère (pas contre toi !) car Foxmail a encore disparu de mon ordinateur suite à ZHPFix. Ca s'était déjà produit la dernière fois. De fait je dois le télécharger à nouveau, l'installer, transférer les données de dossier à dossier etc. et surtout ça a généré des bugs, j'ai à présent un foxmail qui fonctionne mal et qui n'est plus capable de faire des recherches (Ctrl F), fonction que j'utilise en permanence pour mon travail, bref, cet Awesome prend des proportions que je ne soupçonnais pas.

Formater mon disque ? Je ne me le sens pas.
Est-ce qu'une restauration du système ne résoudrait pas le problème ?

Voici le rapport ZHPFix, quant au lien shortcut module, il ne fonctionne pas (404)


Rapport de ZHPFix 2014.1.17.2 par Nicolas Coolman, Update du 17/01/2014
Fichier d'export Registre :
Run by Olivier at 07/02/2014 10:35:18
High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée (00mn 05s)
Dossier Prefetcher vidé

========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Documents and Settings\Olivier\Bureau\Foxmail65b3\Foxmail.exe

========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: Foxmail

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉ:* c:\documents and settings\olivier\bureau\foxmail65b3\foxmail.exe
SUPPRIMÉ: c:\windows\prefetch\wajam_validate.exe-2fb87037.pf
SUPPRIMÉS Temporaires Windows (133) (8 135 851 octets)
SUPPRIMÉS Flash Cookies (11) (2 375 octets)

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
1 : Processus mémoire
1 : Valeurs du Registre
1 : Dossiers
4 : Fichiers
1 : Restauration Système


End of clean in 00mn 12s

========== Chemin de fichier rapport ==========
C:\Documents and Settings\Olivier\Application Data\ZHP\ZHPFix[R1].txt - 01/02/2014 18:28:20 [3751]
C:\Documents and Settings\Olivier\Application Data\ZHP\ZHPFix[R2].txt - 07/02/2014 10:35:24 [1263]

[2011N2]

Bonsoir,

Bien. On a terminé avec ZHPDiag. Tu as passé Shortcut_Module ?

Gabriel.

[Poisson Fa]

Je ne sais pas si tu gères ce forum ou pas, mais j'ai l'impression qu'il fonctionne différemment depuis une semaine, je constate des bugs. Je développe si ça te concerne, à toi de me dire.

Revenons à Awesome...
Il semblerait que le problème soit résolu, après Shortcut...
L'ordinateur a redémarré, j'ai rouvert de nouvelles fenêtres Firofox et elles se sont bien comportées, les fifilles...

Avant de crier victoire, je vais laisser passer quelques heures, puis j'irai dans la rue crier ton nom !

Voici le rapport :

¤¤¤¤¤¤¤¤¤¤ | Shortcut_Module | g3n-h@ckm@n | 02.02.2014.2

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤ - Start 15:04:15 - 08/02/2014

Mis à jour le : 06/02/2014 | 20.30 par g3n-h@ckm@n

Contact : http://www.sosvirus.net

Boot : Normal  

Système : Microsoft Windows XP (32 bits)  Service Pack 3

Mémoire RAM = Total (MB) : 3405 | Libre (MB) : 2
Pagefile = Total (MB) : 5334 | Libre (MB) : 3999
Virtuelle = Total (MB) : 2097 | Libre (MB) : 2011

¤¤¤¤¤¤¤¤¤¤ | Mises à jour Windows

Dernière(s) détection(s) : 2014-02-08 09:08:48
Dernières Téléchargées : 2012-03-14 07:57:12
Dernières installées : 2012-03-28 16:59:36
Prochaine recherche : 2014-02-09 03:34:19


(968) -- ati2evxx.exe
(1396) -- ati2evxx.exe
(1752) -- explorer.exe
(1876) -- spoolsv.exe
(1196) -- jqs.exe
(1276) -- RTHDCPL.EXE
(1284) -- MOM.exe
(1332) -- pptd40nt.exe
(1392) -- mbamscheduler.exe
(1452) -- MTTool.exe
(1132) -- SnapTrap.exe
(1564) -- jusched.exe
(1744) -- uTorrent.exe
(1924) -- ctfmon.exe
(264) -- soffice.exe
(484) -- soffice.bin
(496) -- NMSAccessU.exe
(540) -- mbamgui.exe
(3048) -- alg.exe
(3084) -- CCC.exe
(1188) -- wuauclt.exe
(3840) -- jucheck.exe
(2820) -- firefox.exe
(1472) -- plugin-container.exe

¤¤¤¤¤¤¤¤¤¤ | Détournements de raccourcis

Désinfecté : C:\Documents and settings\All Users\Bureau\Mozilla Firefox.lnk : C:\Program Files\Mozilla Firefox\firefox.exe        (hxxp://www.awesomehp.com/?type=scts=1390645233 ... YU58657AYU)
Désinfecté : C:\Documents and settings\Olivier\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk : C:\Program Files\Mozilla Firefox\firefox.exe        (hxxp://www.awesomehp.com/?type=scts=1390645233 ... YU58657AYU)

¤¤¤¤¤¤¤¤¤¤ | Détournement internet Explorer

Réparé : [HKU\S-1-5-21-1417001333-842925246-725345543-1004\Software\Microsoft\Internet Explorer\Main]|[Start Page] : http://google.fr - http://www.google.com/
Réparé : [HKLM\Software\Microsoft\Internet Explorer\Search]|[SearchAssistant] : http://ie.search.msn.com - http://www.google.com/ie
Réparé : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Start Page] : http://google.fr - http://go.microsoft.com/fwlink/?LinkId=69157
Réparé : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Search Page] : http://google.fr - http://go.microsoft.com/fwlink/?LinkId=54896
Réparé : [HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[MigrateProxy] : 0 - 1
Réparé : [HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[MigrateProxy] : 0 - 1
Réparé : [HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[MigrateProxy] : 0 - 1
Réparé : [HKU\S-1-5-21-1417001333-842925246-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[WarnonZoneCrossing] : 0 - 1

¤¤¤¤¤¤¤¤¤¤ | Détournement Google Chrome

[Olivier] Remis a zéro avec succès : SearchURL
[Olivier] Remis a zéro avec succès : Preferences

¤¤¤¤¤¤¤¤¤¤ | Détournement Firefox


¤¤¤¤¤¤¤¤¤¤ | Détournement des clés StartMenuInternet

Réparé : [HKLM\Software\Clients\StartMenuInternet\Firefox.exe\shell\open\command] : C:\Program Files\Mozilla Firefox\firefox.exe - "C:\Program Files\Mozilla Firefox\Firefox.exe"
Réparé : [HKLM\Software\Clients\StartMenuInternet\IExplore.exe\shell\open\command] : C:\Program Files\Internet Explorer\iexplore.exe - "C:\Program Files\Internet Explorer\iexplore.exe"

¤¤¤¤¤¤¤¤¤¤ | Détournement Javascript


¤¤¤¤¤¤¤¤¤¤ | Fichiers temporaires

[All Users] Fichiers temporaires Supprimés : 0 Ko
[Default User] Fichiers temporaires Supprimés : 0 Ko
[LocalService] Fichiers temporaires Supprimés : 0 Ko
[NetworkService] Fichiers temporaires Supprimés : 0 Ko
[Administrateur] Fichiers temporaires Supprimés : 0 Ko
[Olivier] Fichiers temporaires Supprimés : 0 Ko


¤¤¤¤¤¤¤¤¤¤ |EOF| ¤¤¤¤¤¤¤¤¤¤

[2011N2]

Salut,

Oui c'est moi qui gère ce forum, je veux bien que tu développes à propos des bugs.

On finalise, voici la procédure : http://www.forum-entraide-informatique. ... nalisation
Tiens-moi au courant de ton avancée au fur et à mesure.

Gabriel.

[Poisson Fa]

A propos des bugs, auparavant :

en cliquant "répondre", la fenêtre réponse s'ouvre à moi, j'écris ma réponse, je clique sur envoyer et c'est fini. Lorsque tu me réponds, je reçois une notification par email, et c'est pratique.

A présent :

en cliquant "répondre", la fenêtre réponse s'ouvre, mais elle contient déjà le texte de ma dernière réponse, gardé en mémoire. Je dois donc l'effacer avant de répondre.
Lorsque je clique sur envoyer, ça mouline 2 secondes, je crois que c'est parti, mais non, c'est pas parti tant que je ne rentre pas à nouveau le nom d'utilisateur et le titre du message dans la colonne de gauche. Alors ensuite le code à insérer s'affiche, je le rentre, et là le message part bien.
lorsque tu me réponds, je ne reçois pas de notification par email.


Merci pour cette assistance personnalisée, je ferai l'étape de finalisation mardi car là je suis débordé de travail, et je publierai le rapport.
Comme ça je confirmerai que awesome est bien parti.

Merci encore, et à mardi !

[2011N2]

Re,

Ah ça c'est normal, c'est juste que tu n'es pas connecté à ton compte, mais tu es en tant qu'invité.

Donc connecte-toi au forum et cela devrait se résoudre.

Gabriel.