Analyse TXT

[etude-communication-fsmi]

Bonjour,
Ma collègue a eu un problème avec son ordinateur (page blanche avec un numéro de téléphone à contacter (je n'ai pas le numéro de tel) et voix d'une femme). Ce problème est arrivé deux fois de suite et à bloqué momentanément l'ordinateur. Il fonctionne de nouveau bien mais j'ai préféré faire un scan via RogueKiller.
Je n'y connais pas grand chose donc pouvez-vous me dire si les menaces sont réelles ?
Je précise que les fichiers "ads.exe" et "FileViewPro" ne sont pas des menaces.
Merci d'avance

PS : le fichier TXT est en pièce jointe

[Curson]

Bonjour,

Merci de votre intérêt pour notre logiciel et bienvenue sur le forum Adlice.

Il s'agit d'une arnaque connue : Arnaque support téléphonique.
Avez-vous installé / acheté un logiciel ou souscrit à un contrat quelconque ? Si oui, faites immédiatement opposition au payement.
Pouvez-vous me communiquer l’adresse du site où s'affiche le numéro de téléphone via Message Privé ?

L'ordinateur est infecté.
Désinstallez les logiciels suivants (si présents) :

Code: [Select]

AppGraffiti
AVG Secure Search
AVG Security Toolbar
AVG Web TuneUp
DriverTurbo
Partner Toolbar
ShopWit
Relancez RogueKiller et sélectionnez les entrées suivantes pour suppression :

Code: [Select]

[PUP.Gen0] (X64) HKEY_CLASSES_ROOT\CLSID\{6F6A5334-78E9-4D9B-8182-8B41EA8C39EF} (C:\PROGRA~2\APPGRA~1\APPGRA~2.DLL) -> Trouvé(e)
[Suspicious.Path|PUP.Gen1] (X64) HKEY_CLASSES_ROOT\CLSID\{9517FB66-3DCF-44eb-8CE5-1A0F8A058D12} (C:\ProgramData\Partner\Partner64.dll) -> Trouvé(e)
[PUP.Gen0] (X64) HKEY_CLASSES_ROOT\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233} (C:\Program Files\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll) -> Trouvé(e)
[PUP.Gen0] (X64) HKEY_CLASSES_ROOT\CLSID\{CC99A798-FD3D-4AB4-969E-6071612524F9} (C:\PROGRA~2\APPGRA~1\APPGRA~2.DLL) -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_LOCAL_MACHINE\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_LOCAL_MACHINE\Software\AVG Tuneup -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_USERS\.DEFAULT\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_USERS\.DEFAULT\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\DriverTuner -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\DriverTuner_Init -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\DriverTuner -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\DriverTuner_Init -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_USERS\S-1-5-18\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_USERS\S-1-5-18\Software\AVG Secure Search -> Trouvé(e)
[PUP.Gen0] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233} (C:\Program Files\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll) -> Trouvé(e)
[PUP.Gen0] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233} (C:\Program Files\AVG Web TuneUp\4.3.8.510\AVG Web TuneUp.dll) -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | vProt : "C:\Program Files (x86)\AVG Web TuneUp\vprot.exe" [7] -> Trouvé(e)
[PUP.Gen1] (X64) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\Microsoft\Internet Explorer\Main | Start Page : https://mysearch.avg.com/?cid=%7BCF00C37C-D6F3-4203-A572-D4E263D7FE1F%7D&mid=0c25fbb6ed9547d0ba455dc0e337eac0-94c6d18c586d462b3c3a8b80771c13f6316b8e99&lang=en&ds=AVG&coid=avgtbavg&cmpid=1214av&pr=fr&d=2014-12-16%2009:11:31&v=4.2.9.726&pid=wtu&sg=&sap=hp  -> Trouvé(e)
[PUP.Gen1] (X86) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\Microsoft\Internet Explorer\Main | Start Page : https://mysearch.avg.com/?cid=%7BCF00C37C-D6F3-4203-A572-D4E263D7FE1F%7D&mid=0c25fbb6ed9547d0ba455dc0e337eac0-94c6d18c586d462b3c3a8b80771c13f6316b8e99&lang=en&ds=AVG&coid=avgtbavg&cmpid=1214av&pr=fr&d=2014-12-16%2009:11:31&v=4.2.9.726&pid=wtu&sg=&sap=hp  -> Trouvé(e)
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Trouvé(e)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-2821492540-1176644694-3031680552-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve  -> Trouvé(e)

[Suspicious.Path] %WINDIR%\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job -- C:\Windows\TEMP\{CC9E282E-B254-4D2F-AAF3-27EDFD8A0D1A}.exe (--uninstall=1) -> Trouvé(e)
[Suspicious.Path] %WINDIR%\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job -- C:\Windows\TEMP\{040EC9C2-7A42-4976-8C49-45E266B90272}.exe (--uninstall=1) -> Trouvé(e)
[Suspicious.Path] \AVG-Secure-Search-Update_JUNE2013_HP_rmv -- C:\Windows\TEMP\{CC9E282E-B254-4D2F-AAF3-27EDFD8A0D1A}.exe (--uninstall=1) -> Trouvé(e)
[Suspicious.Path] \AVG-Secure-Search-Update_JUNE2013_TB_rmv -- C:\Windows\TEMP\{040EC9C2-7A42-4976-8C49-45E266B90272}.exe (--uninstall=1) -> Trouvé(e)
[Suspicious.Path|PUP.Gen1] \Shop-wit -- C:\Users\Informatique\AppData\Local\shopwit\shopwit\1.3.6.10\shopwit.exe (MyCmd) -> Trouvé(e)

[PUP.Gen1][Répertoire] C:\ProgramData\AVG Secure Search -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Security Toolbar -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Users\Informatique\AppData\Roaming\DriverTurbo -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Users\Informatique\AppData\Local\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Users\Informatique\AppData\Local\DriverTuner -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Secure Search -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Security Toolbar -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Program Files\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Program Files (x86)\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Program Files (x86)\DriverTurbo -> Trouvé(e)
[PUP.Gen3][Fichier] C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\avg-secure-search.xml -> Trouvé(e)
[PUP.Gen3][Fichier] C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\wtu-secure-search.xml -> Trouvé(e)
[PUP.Gen3][Fichier] C:\Users\Informatique\AppData\Roaming\Mozilla\Firefox\Profiles\d4qmob7e.default\searchplugins\avg-secure-search.xml -> Trouvé(e)

[PUP.Gen2][Firefox:Addon] d4qmob7e.default : AVG Web TuneUp [avg@toolbar] -> Trouvé(e)
[PUP.Gen1][Firefox:Config] d4qmob7e.default : user_pref("browser.startup.homepage", "https://mysearch.avg.com/?cid={CF00C37C-D6F3-4203-A572-D4E263D7FE1F}&mid=0c25fbb6ed9547d0ba455dc0e337eac0-94c6d18c586d462b3c3a8b80771c13f6316b8e99&lang=en&ds=AVG&coid=avgtbavg&cmpid=1214av&pr=fr&d=2014-12-16 09:11:31&v=4.2.1.951&pid=wtu&sg=&sap=hp"); -> Trouvé(e)
[PUM.SearchEngine][Firefox:Config] d4qmob7e.default : user_pref("browser.search.selectedEngine", "AVG Secure Search"); -> Trouvé(e)
Supprimez les dossiers suivants :

C:\Program Files\AppGraffiti
C:\ProgramData\Partner
C:\Users\Informatique\AppData\Local\shopwit

FileViewPro à très mauvaise réputation et il est considéré comme PUP/Adware par de nombreux moteurs antivirus.
Si vous ne désirez pas le conserver, vous pouvez le désinstaller normalement et cocher les lignes supplémentaires suivantes :

Code: [Select]

[PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\FileViewPro_is1 -> Trouvé(e)
[PUP.Gen1][Fichier] C:\Users\Public\Desktop\FileViewPro.lnk [LNK@] C:\PROGRA~1\FILEVI~1\FILEVI~1.EXE -> Trouvé(e)
[PUP.Gen0|PUP.Gen1][Répertoire] C:\Users\Informatique\AppData\Roaming\Solvusoft -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Users\Informatique\AppData\Local\FileViewPro -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileViewPro -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Program Files\FileViewPro -> Trouvé(e)
[PUP.Gen1][Fichier] C:\Users\Public\Desktop\FileViewPro.lnk [LNK@] C:\PROGRA~1\FILEVI~1\FILEVI~1.EXE -> Trouvé(e)
Merci d'attacher le rapport de suppression de RogueKiller dans votre prochain message.
Comment se comporte le système ?

Meilleures salutations.

[etude-communication-fsmi]

Merci pour le soutien.
J'ai suivi (autant que possible) vos instructions. Je viens également de refaire un scanning.
En pièces jointes, le rapport avant de redémarrer l'ordinateur (fichier "RK TXT 2") et le rapport après le nouveau scanning (fichier "RK TXT 3").
Pour ce deuxième scanning, le fichier "KICLIENT" est un de nos programmes indispensables et donc n'est pas une menace.
Merci beaucoup pour le suivi.

[Curson]

Bonjour,

Relancez RogueKiller et sélectionnez les entrées suivantes pour suppression :

Code: [Select]

[PUP.Gen0|PUP.Gen1] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WtuSystemSupport ("C:\Program Files (x86)\AVG Web TuneUp\WtuSystemSupport.exe") -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\ProgramData\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen1][Répertoire] C:\Program Files (x86)\AVG Web TuneUp -> Trouvé(e)
[PUP.Gen3][Fichier] C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\wtu-secure-search.xml -> Trouvé(e)
Comment se comporte le système ?

Meilleures salutations.

[etude-communication-fsmi]

Voici le rapport après avoir suivi vos instructions.
L'ordinateur a l'air de bien tourner.
Me conseillez-vous de faire autre chose ?

[Curson]

Bonjour,

Le système n'est plus infecté.
Je vous conseille d'installer un bloqueur de publicité, de manière à prévenir les éventuelles alertes auxquelles votre collègue à été confrontée :

• uBlock Origin pour FireFox
• uBlock Origin pour Chrome

Meilleures salutations.

[etude-communication-fsmi]

Merci beaucoup pour votre aide !
Bonne journée

[Curson]

Bonjour,

Heureux d'avoir pu vous aider.
Bonne journée à vous aussi.

Meilleures salutations.