Author Topic: Analyse TXT  (Read 268 times)

0 Members and 1 Guest are viewing this topic.

July 13, 2017, 10:49:50 am

etude-communication-fsmi

  • Newbie

  • Offline
  • *

  • 4
  • Reputation:
    0
    • View Profile
Analyse TXT
« on: July 13, 2017, 10:49:50 am »
Bonjour,
Ma collègue a eu un problème avec son ordinateur (page blanche avec un numéro de téléphone à contacter (je n'ai pas le numéro de tel) et voix d'une femme). Ce problème est arrivé deux fois de suite et à bloqué momentanément l'ordinateur. Il fonctionne de nouveau bien mais j'ai préféré faire un scan via RogueKiller.
Je n'y connais pas grand chose donc pouvez-vous me dire si les menaces sont réelles ?
Je précise que les fichiers "ads.exe" et "FileViewPro" ne sont pas des menaces.
Merci d'avance

PS : le fichier TXT est en pièce jointe

Reply #1July 13, 2017, 11:34:32 am

Curson

  • Global Moderator
  • Hero Member

  • Online
  • *****

  • 1863
  • Reputation:
    68
    • View Profile
Re: Analyse TXT
« Reply #1 on: July 13, 2017, 11:34:32 am »
Bonjour,

Merci de votre intérêt pour notre logiciel et bienvenue sur le forum Adlice.

Il s'agit d'une arnaque connue : Arnaque support téléphonique.
Avez-vous installé / acheté un logiciel ou souscrit à un contrat quelconque ? Si oui, faites immédiatement opposition au payement.
Pouvez-vous me communiquer l’adresse du site où s'affiche le numéro de téléphone via Message Privé ?

L'ordinateur est infecté.
Désinstallez les logiciels suivants (si présents) :
Code: [Select]
AppGraffiti
AVG Secure Search
AVG Security Toolbar
AVG Web TuneUp
DriverTurbo
Partner Toolbar
ShopWit

Relancez RogueKiller et sélectionnez les entrées suivantes pour suppression :
Code: [Select]
[PUP.Gen0] (X64) HKEY_CLASSES_ROOT\CLSID\{6F6A5334-78E9-4D9B-8182-8B41EA8C39EF} (C:\PROGRA~2\APPGRA~1\APPGRA~2.DLL) -> Trouvé(e)
[Suspicious.Path|PUP.Gen1] (X64) HKEY_CLASSES_ROOT\CLSID\{9517FB66-3DCF-44eb-8CE5-1A0F8A058D12} (C:\ProgramData\Partner\Partner64.dll) -> Trouvé(e)
[PUP.Gen0] (X64) HKEY_CLASSES_ROOT\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233} (C:\Program Files\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll) -> Trouvé(e)
[PUP.Gen0] (X64) HKEY_CLASSES_ROOT\CLSID\{CC99A798-FD3D-4AB4-969E-6071612524F9} (C:\PROGRA~2\APPGRA~1\APPGRA~2.DLL) -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_LOCAL_MACHINE\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_LOCAL_MACHINE\Software\AVG Tuneup -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_USERS\.DEFAULT\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_USERS\.DEFAULT\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\DriverTuner -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\DriverTuner_Init -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\DriverTuner -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\DriverTuner_Init -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_USERS\S-1-5-18\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_USERS\S-1-5-18\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen0] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233} (C:\Program Files\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll) -> Trouvé(e)
[PUP.Gen0] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233} (C:\Program Files\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll) -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | vProt : "C:\Program Files (x86)\AVG Web TuneUp\vprot.exe" [7] -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\Microsoft\Internet Explorer\Main | Start Page : https://mysearch.avg.com/?cid=%7BCF00C37C-D6F3-4203-A572-D4E263D7FE1F%7D&mid=0c25fbb6ed9547d0ba455dc0e337eac0-94c6d18c586d462b3c3a8b80771c13f6316b8e99&lang=en&ds=AVG&coid=avgtbavg&cmpid=1214av&pr=fr&d=2014-12-16%2009:11:31&v=4.2.9.726&pid=wtu&sg=&sap=hp  -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\Microsoft\Internet Explorer\Main | Start Page : https://mysearch.avg.com/?cid=%7BCF00C37C-D6F3-4203-A572-D4E263D7FE1F%7D&mid=0c25fbb6ed9547d0ba455dc0e337eac0-94c6d18c586d462b3c3a8b80771c13f6316b8e99&lang=en&ds=AVG&coid=avgtbavg&cmpid=1214av&pr=fr&d=2014-12-16%2009:11:31&v=4.2.9.726&pid=wtu&sg=&sap=hp  -> Trouvé(e)
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Trouvé(e)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Trouvé(e)

[Suspicious.Path] %WINDIR%\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job -- C:\Windows\TEMP\{CC9E282E-B254-4D2F-AAF3-27EDFD8A0D1A}.exe (--uninstall=1) -> Trouvé(e)
[Suspicious.Path] %WINDIR%\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job -- C:\Windows\TEMP\{040EC9C2-7A42-4976-8C49-45E266B90272}.exe (--uninstall=1) -> Trouvé(e)
[Suspicious.Path] \AVG-Secure-Search-Update_JUNE2013_HP_rmv -- C:\Windows\TEMP\{CC9E282E-B254-4D2F-AAF3-27EDFD8A0D1A}.exe (--uninstall=1) -> Trouvé(e)
[Suspicious.Path] \AVG-Secure-Search-Update_JUNE2013_TB_rmv -- C:\Windows\TEMP\{040EC9C2-7A42-4976-8C49-45E266B90272}.exe (--uninstall=1) -> Trouvé(e)
[Suspicious.Path|PUP.Gen1] \Shop-wit -- C:\Users\Informatique\AppData\Local\shopwit\shopwit\1.3.6.10\shopwit.exe (MyCmd) -> Trouvé(e)

[PUP.Gen1][Répertoire] C:\ProgramData\AVG Secure Search -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Security Toolbar -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Users\Informatique\AppData\Roaming\DriverTurbo -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Users\Informatique\AppData\Local\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Users\Informatique\AppData\Local\DriverTuner -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Secure Search -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Security Toolbar -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Program Files\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Program Files (x86)\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Program Files (x86)\DriverTurbo -> Trouvé(e)
[PUP.Gen3][Fichier] C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\avg-secure-search.xml -> Trouvé(e)
[PUP.Gen3][Fichier] C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\wtu-secure-search.xml -> Trouvé(e)
[PUP.Gen3][Fichier] C:\Users\Informatique\AppData\Roaming\Mozilla\Firefox\Profiles\d4qmob7e.default\searchplugins\avg-secure-search.xml -> Trouvé(e)

[PUP.Gen2][Firefox:Addon] d4qmob7e.default : AVG Web TuneUp [avg@toolbar] -> Trouvé(e)
[PUP.Gen1][Firefox:Config] d4qmob7e.default : user_pref("browser.startup.homepage", "https://mysearch.avg.com/?cid={CF00C37C-D6F3-4203-A572-D4E263D7FE1F}&mid=0c25fbb6ed9547d0ba455dc0e337eac0-94c6d18c586d462b3c3a8b80771c13f6316b8e99&lang=en&ds=AVG&coid=avgtbavg&cmpid=1214av&pr=fr&d=2014-12-16 09:11:31&v=4.2.1.951&pid=wtu&sg=&sap=hp"); -> Trouvé(e)
[PUM.SearchEngine][Firefox:Config] d4qmob7e.default : user_pref("browser.search.selectedEngine", "AVG Secure Search"); -> Trouvé(e)

Supprimez les dossiers suivants :
Quote
C:\Program Files\AppGraffiti
C:\ProgramData\Partner
C:\Users\Informatique\AppData\Local\shopwit

FileViewPro à très mauvaise réputation et il est considéré comme PUP/Adware par de nombreux moteurs antivirus.
Si vous ne désirez pas le conserver, vous pouvez le désinstaller normalement et cocher les lignes supplémentaires suivantes :
Code: [Select]
[PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\FileViewPro_is1 -> Trouvé(e)
[PUP.Gen1][Fichier] C:\Users\Public\Desktop\FileViewPro.lnk [LNK@] C:\PROGRA~1\FILEVI~1\FILEVI~1.EXE -> Trouvé(e)
[PUP.Gen0|PUP.Gen1][Répertoire] C:\Users\Informatique\AppData\Roaming\Solvusoft -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Users\Informatique\AppData\Local\FileViewPro -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileViewPro -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Program Files\FileViewPro -> Trouvé(e)
[PUP.Gen1][Fichier] C:\Users\Public\Desktop\FileViewPro.lnk [LNK@] C:\PROGRA~1\FILEVI~1\FILEVI~1.EXE -> Trouvé(e)

Merci d'attacher le rapport de suppression de RogueKiller dans votre prochain message.
Comment se comporte le système ?

Meilleures salutations.

Reply #2July 13, 2017, 01:17:24 pm

etude-communication-fsmi

  • Newbie

  • Offline
  • *

  • 4
  • Reputation:
    0
    • View Profile
Re: Analyse TXT
« Reply #2 on: July 13, 2017, 01:17:24 pm »
Merci pour le soutien.
J'ai suivi (autant que possible) vos instructions. Je viens également de refaire un scanning.
En pièces jointes, le rapport avant de redémarrer l'ordinateur (fichier "RK TXT 2") et le rapport après le nouveau scanning (fichier "RK TXT 3").
Pour ce deuxième scanning, le fichier "KICLIENT" est un de nos programmes indispensables et donc n'est pas une menace.
Merci beaucoup pour le suivi.

Reply #3July 13, 2017, 01:25:40 pm

Curson

  • Global Moderator
  • Hero Member

  • Online
  • *****

  • 1863
  • Reputation:
    68
    • View Profile
Re: Analyse TXT
« Reply #3 on: July 13, 2017, 01:25:40 pm »
Bonjour,

Relancez RogueKiller et sélectionnez les entrées suivantes pour suppression :
Code: [Select]
[PUP.Gen0|PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WtuSystemSupport ("C:\Program Files (x86)\AVG Web TuneUp\WtuSystemSupport.exe") -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Program Files (x86)\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen3][Fichier] C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\wtu-secure-search.xml -> Trouvé(e)

Comment se comporte le système ?

Meilleures salutations.

Reply #4July 13, 2017, 01:44:01 pm

etude-communication-fsmi

  • Newbie

  • Offline
  • *

  • 4
  • Reputation:
    0
    • View Profile
Re: Analyse TXT
« Reply #4 on: July 13, 2017, 01:44:01 pm »
Voici le rapport après avoir suivi vos instructions.
L'ordinateur a l'air de bien tourner.
Me conseillez-vous de faire autre chose ?

Reply #5July 13, 2017, 02:04:47 pm

Curson

  • Global Moderator
  • Hero Member

  • Online
  • *****

  • 1863
  • Reputation:
    68
    • View Profile
Re: Analyse TXT
« Reply #5 on: July 13, 2017, 02:04:47 pm »
Bonjour,

Le système n'est plus infecté.
Je vous conseille d'installer un bloqueur de publicité, de manière à prévenir les éventuelles alertes auxquelles votre collègue à été confrontée :
Meilleures salutations.

Reply #6July 13, 2017, 02:15:31 pm

etude-communication-fsmi

  • Newbie

  • Offline
  • *

  • 4
  • Reputation:
    0
    • View Profile
Re: Analyse TXT
« Reply #6 on: July 13, 2017, 02:15:31 pm »
Merci beaucoup pour votre aide !
Bonne journée

Reply #7July 13, 2017, 02:16:18 pm

Curson

  • Global Moderator
  • Hero Member

  • Online
  • *****

  • 1863
  • Reputation:
    68
    • View Profile
Re: Analyse TXT
« Reply #7 on: July 13, 2017, 02:16:18 pm »
Bonjour,

Heureux d'avoir pu vous aider.
Bonne journée à vous aussi.

Meilleures salutations.