[Résolu] [Résolu] Infection par "Antivirus 2009"
Forum Sécurité - Virus : [Résolu] [Résolu] Infection par "Antivirus 2009"
Lire la meilleure réponse, apportée par Sham_Rock.
Bonsoir,
Depuis quelques temps (début de l'année), l'ordinateur m'affiche en anglais des alertes "Antivirus 2009" comme quoi il est infecté, et une fenêtre "Windows Security Center" en anglais s'affiche et me dit que l'antivirus n'est pas trouvé.
Voir le résultat ici.
Je soupçonne une infection
Voici le rapport hijackthis :
| Citation : Logfile of Trend Micro HijackThis v2.0.2
|
Toute aide sera chaleureusement appréciée !
Merci,
Christian.
Message édité par Chre le 04-02-2009 à 07:31:01
| Citation : D'autres actions à réaliser ? |
nan... à part faire tes exos
Supprime tous les programmes installés pour la désinfection.
Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.
Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.
Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.
~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.
Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.
bonsoir
~Télécharge SmitfraudFix
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Recherche:
~Double clique sur SmitfraudFix.exe
~Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt
~Poste ce rapport.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonsoir toutes et tous,
Bonsoir Sham_Rock,
Finalement, j'ai récupéré l'ordinateur avec moi, se sera plus facile et plus rapide que via MSN
Voici le rapport demandé :
| Citation : SmitFraudFix v2.388
|
Répondre à Chre
bonsoir
1
Mets à jour SmitFraudFix (option 4)
2
~Redémarre l'ordinateur en mode sans échec (F8 au démarrage de l'ordinateur)
Aide
~Double clique sur SmitfraudFix.cmd
~Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
~Réponds Oui (o) à toutes les questions.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
~Poste le nouveau rapport.
3
ajoute un nouveau log hijackthis stp
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Re,
| Sham_Rock a écrit : 1 |
Il n'y a pas eu de mise à jour
| Citation : SmitFraudFix v2.391 Aucune mise à jour n'est disponible pour le moment Appuyez sur une touche pour continuer... |
Le rapport demandé
| Citation : SmitFraudFix v2.388 Rapport fait à 20:52:49,90, 15/01/2009 »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix SrchSTS.exe by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix
S!Ri's WS2Fix: LSP not Found.
GenericRenosFix by S!Ri
C:\WINDOWS\system32\ieupdates.exe supprimé »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix Agent.OMZ.Fix
404Fix
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4E9FF852-836A-4ADA-BB90-04291E3A9863}: DhcpNameServer=192.168.43.1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
SrchSTS.exe by S!Ri
|
Le rapport hijackthis
| Citation : Logfile of Trend Micro HijackThis v2.0.2 Running processes: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local -- |
Message édité par Chre le 15-01-2009 à 21:13:37
Répondre à Chre
re
Télécharge MalwareByte's Anti-Malware sur ton Bureau.
- Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées :
- Fais redémarrer ton ordinateur en mode sans échec
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.
- Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
- Afin de lancer la recherche, clic sur"Rechercher".
- Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!
Aide :
++++++++++++++++
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Re,
Cà devient chaud là
Impossible de télécharger MBAM depuis tes liens (les sites sont "introuvables"...) ; en cherchant, j'ai réussi via clubic.com
Mais ensuite, çà plante à la fin de l'installation de MBAM, et malgré plusieurs tentatives, cette installation n'aboutit pas et je ne peux donc pas lancer le programme.
Que dois-je faire ? Merci.
Répondre à Chre
bonsoir
Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport
\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"
viens sur le forum et édition "coller"
AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour vous, bonjour Sham_Rock,
Que de misères, impossible de télécharger ComboFix, impossible de l'exécuter. Bref, je l'ai récupéré depuis un autre ordinateur et installé via une clé USB, en renommant le programme ComboFix.exe.
Voici, enfin, le rapport demandé
| Citation : ComboFix 09-01-16.03 - Gaec 2009-01-17 11:26:05.1 - NTFSx86
|
Les fichiers indiqués par ComboFix se trouvent ici.
Merci
Message édité par Chre le 17-01-2009 à 11:51:31
Répondre à Chre
bonsoir
on continue
1
Copie (Ctrl+C) le texte ci-dessous :
File::
|
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
2
Télécharge MalwareByte's Anti-Malware sur ton Bureau.
- Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées :
- Fais redémarrer ton ordinateur en mode sans échec
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.
- Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
- Afin de lancer la recherche, clic sur"Rechercher".
- Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!
Aide :
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour à vous,
Bonjour Sham_Rock,
Première étape, voici donc tout d'abord le nouveau rapport ComboFix
| Citation : ComboFix 09-01-17.03 - Gaec 2009-01-18 11:11:40.2 - NTFSx86 NETWORK
|
MBAM en cours...
Répondre à Chre
Re,
Deuxième étape.
Voici deux rapports MBAM, celui demandé et fait après le ComboFix du post précédent, et un que j'ai réalisé *avant*, et qui avait trouvé beaucoup de choses.
Le rapport MBAM demandé
| Citation : Malwarebytes' Anti-Malware 1.33 18/01/2009 16:48:07 Type de recherche: Examen complet (C:\|F:\|) Processus mémoire infecté(s): 0 Processus mémoire infecté(s): Module(s) mémoire infecté(s): Clé(s) du Registre infectée(s): Valeur(s) du Registre infectée(s): Elément(s) de données du Registre infecté(s): Dossier(s) infecté(s): Fichier(s) infecté(s): |
Le rapport MBAM réalisé *avant*
| Citation : Malwarebytes' Anti-Malware 1.33 17/01/2009 16:41:25 Type de recherche: Examen complet (C:\|F:\|) Processus mémoire infecté(s): 0 Processus mémoire infecté(s): Module(s) mémoire infecté(s): Clé(s) du Registre infectée(s): Valeur(s) du Registre infectée(s): Elément(s) de données du Registre infecté(s): Dossier(s) infecté(s): Fichier(s) infecté(s): |
Message édité par Chre le 18-01-2009 à 16:56:15
Répondre à Chre
bonsoir
comment se comporte ton pc?
Fais une analyse antivirus en ligne sur Kaspersky avec Internet Explorer.
- Autorise les Active x.
- Clique sur Démarrer Online Scanner.
- Sélectionne le poste de travail comme analyse. Enregistres sous le rapport en format .txt.
- Colle son rapport ici.
- Poste un nouveau rapport Hijackthis.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour toutes et tous,
Bonjour Sham_Rock,
L'ordinateur va mieux, je commence à pouvoir à nouveau l'utiliser.
Mais il reste des choses d'après Kaspersky, et dans Firefox j'ai le
moteur de recherche par défaut "Yoog Search" et dans IE "Starware toolbar musique search"...
Enfin, plus gênant, je n'arrive pas à remettre en route "Bitdefender Internet Security 2008" depuis que le poste est infecté, il me dit que les services sont désactivés et que je dois redémarrer le PC. Mais même en faisant cela, çà ne démarre pas. BitDefender me dit "La protection en temps réel de BitDefender n'est pas disponible"
Voici le rapport Kaspersky
| Citation : --------------------------------------------------------------------------------
|
Le rapport Hijackthis
| Citation : Logfile of Trend Micro HijackThis v2.0.2
|
Répondre à Chre
re
c'est que ça va pas mieux alors...
1
Télécharge sur ton bureau FoxScan de Loup blanc
http://fradesch.perso.cegetel.net/transf/FoxScan.exe
laisse toi guider et poste le rapport généré.
supprime:
2
Copie (Ctrl+C) le texte ci-dessous :
File::
|
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Message édité par Sham_Rock le 19-01-2009 à 23:04:10
Re,
| Sham_Rock a écrit : c'est que ça va pas mieux alors... |
Sisi, je t'assure que çà va beaucoup mieux qu'avant pourtant
Suppression des fichiers demandés faite.
Rapport TB
| Citation : -----------\\ ToolBar S&D 1.2.8 XP/Vista Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3 "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 ) -----------\\ Recherche de Fichiers / Dossiers ... C:\WINDOWS\iun6002.exe -----------\\ Extensions (Gaec) - {0538E3E3-7E9B-4d49-8831-A227C80A7AD3} => forecastfox
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
-----------\\ Fin du rapport a 22:52:33,68 |
Rapport FoxScan
| Citation : FoxScan Version 1.0.5
------------------------------------------------------
------------------------------------------------------ //////////// Plugins de recherche \\\\\\\\\\\\\ Recherche dans "perfs.js" : browser.search.defaultenginename : "Yoog Search" browser.search.defaulturl : "http://www5.yoog.com/search.php?q=" browser.search.selectedEngine : "Yoog Search" keyword.URL : "http://www5.yoog.com/search.php?q="
------------------------------------------------------
browserdirprovider.dll ------------------------------------------------------ //////////// Plugins configurés dans la Base de registre \\\\\\\\\\\\\ ------------------------------------------------------ //////////// Recherche additionnelles pour les infections Goored, YoogSearch... \\\\\\\\\\\\\
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.5\extensions] |
Message édité par Chre le 19-01-2009 à 22:59:16
Répondre à Chre
re
Copie (Ctrl+C) le texte ci-dessous :
File::
|
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour à vous,
Bonjour Sham_Rock,
Voici le rapport ComboFix demandé
| Citation : ComboFix 09-01-19.04 - Gaec 2009-01-20 7:01:24.3 - NTFSx86
|
Répondre à Chre
ok
bon, on fait autrement...
Télécharge OTScanIt2.exe sur ton Bureau, et fais un double clic dessus pour extraire les fichiers. Cela va créer un dossier nommé OTScanIt2 sur ton Bureau.
N.B : Si pendant le téléchargement et/ou l’installation tu reçois une alerte de ton antivirus, ignore-là. Certains composants de OTscanIT peuvent être détectés comme un virus par certains antivirus. Pense aussi à désactiver tes protections résidentes durant la procédure.
Note : Vous devez avoir ouvert une session avec un compte ayant les droits Administrateur pour exécuter ce programme.
- Ferme TOUS LES AUTRES PROGRAMMES et laisse travailler OTscanIT2.
- Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur).
- Sous "File Age" en haut, clique sur le menu déroulant et sélectionne "90 days".
- Sous Additional Scans coche la case située devant les éléments suivants afin de les sélectionner : Reg - ColumnHandlers, Reg - Desktop Components, Reg - Disabled MS Config Items, Reg - File Associations, Reg - NetSvcs, Reg - Protocol Filters, Reg - Protocol Handlers, Reg - SafeBoot Minimal, Reg - SafeBoot Network, Reg - Session Manager Settings, Reg - Winsock2 Catalogs, File - Lop Check, File - Purity Scan, Files - Signature Check, and Evnt - EventViewer Logs ( Last 10 Errors).
- Sous "Rootkit search", sélectionne "Yes".
- Sous "Custom Scans", copie et colle la sélection ci-dessous :
C:\Program Files\Mozilla Firefox\components\*.dll /s
|
- Ne modifie aucun autre paramètre.
- Ensuite, cliquez sur le bouton Run Scan dans la barre d'outils.
- Laissez le programme tourner sans intervenir.
- Lorsque l'analyse est terminée le Bloc-notes va s'ouvrir pour afficher le fichier rapport.
- Cliquez sur le menu Format et vérifiez que Retour automatique à la ligne n'est pas coché. S'il l'est, cliquez dessus afin de le décocher.
- Upload-moi le rapport sur mediafire. Ne le poste pas sur le forum !
Uploader un fichier sur mediafire :
- Rends-toi sur ce lien : http://www.mediafire.com/
- Clique en haut sur "Upload files To Media fire". Choisis ensuite "I want to upload without an account"
- Une fenêtre de ton explorateur windows va s'ouvrir. Navigue jusqu'au rapport que je te demande d'uploader, sélectionne-le puis clique sur "ouvrir".
- Clique ensuite sur "Upload".
- A droite de l'écran, choisis : "upload to a new folder". Laisse le nom par défaut ( = la date )
- Valide et laisse l'upload se faire.
- Clique sur "Vieuw uploaded file" et copie-moi l'url ( = le lien ) du nouvel onglet ou de la nouvelle fenêtre qui va s'ouvrir dans ton prochain message. Ainsi, je pourrais télécharger le rapport demandé.
Message édité par Sham_Rock le 21-01-2009 à 00:48:33
Bonjour toutes et tous,
Bonjour Sham_Rock,
[EDIT : La bonne version du fichier .TXT avec l'option "retour automatique à la ligne" désactivée
]
Message édité par Chre le 21-01-2009 à 21:03:54
Répondre à Chre
bonsoir
1
Ouvre le bloc-notes et fais un copier coller de ce qui est ci-dessous (copie tout d'un trait) :
REGEDIT 4
|
Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
Quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui".
2
Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur).
Fais un copier/coller des informations de la zone Code ci-dessous dans la zone de saisie intitulée "Paste fix here" puis cliquez sur le bouton Run Fix.
[Registry - Safe List]
|
L'exécution devrait être très rapide. Lorsque la correction est terminée, soit tu verras un message t'annonçant que c'est fini (finished), soit tu seras invité à faire redémarrer le PC pour terminer l'exécution. Si c'est fini, clique sur le bouton Ok et le Bloc-notes va s'ouvrir pour afficher un rapport de toutes les actions réalisées. Envoie-moi ces informations en réponse.
Si un redémarrage est nécessaire, clique sur le bouton "Yes" pour faire redémarrer la machine. Après ce redémarrage, OTScanIt2 va finir de déplacer les fichiers qui ne pouvaient pas l'être précédemment, puis le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Envoie-moi ces informations en réponse.
Poste-moi le rapport sur le forum.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Re,
Ok pour fix.reg
Le rapport demandé
| Citation : [Registry - Safe List]
|
Répondre à Chre
alors?
si ça n'a pas marché... j'ai passé plusieurs heures sur ce problème de yoog search
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
| Sham_Rock a écrit : alors?
|
Oooops ! Je suis vraiment désolé.
Yoog Search était toujours présent en haut à droite de Firefox, mais en reprenant le gestionnaire des moteurs de recherche, j'ai pu maintenant le supprimer et en mettre un autre. J'ai quitté et relancé Firefox, et j'ai bien conservé mon moteur de recherche par défaut.
Donc, je pense que c'est bon de ce point du vue du côté de Firefox
Répondre à Chre
enfin une bonne nouvelle.
pour starware et IE, je n'ai trouvé qu'une clé de recherche musicale que j'ai del avec le .reg. Il y a autre chose?
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
| Sham_Rock a écrit : pour starware et IE, je n'ai trouvé qu'une clé de recherche musicale que j'ai del avec le .reg. Il y a autre chose? |
Pour starware et IE, j'ai donc fait la même chose avec le gestionnaire des moteurs de recherches de IE et... j'ai réussi à supprimer ces moteurs et à remettre mon moteur de recherche par défaut.
J'ai redemarré complètement l'ordi, dans IE et Firefox, je retrouve bien mes bons moteurs de recherche. C'est donc bon de ce côté là. Merci !
De "visible", reste mon problème de Bitdefender qui ne se lance toujours pas.
Répondre à Chre
re
désinstalle/réinstalle
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonsoir à vous,
Bonsoir Sham_Rock,
Pffffffiooooooo
Bitdefender est réinstallé, analyses en cours, je posterai les rapports à l'issue, il y en pour plusieurs heures de traitement, donc ce ne sera pas ce soir car là, dodo
Répondre à Chre
Bonjour vous,
Bonjour Sham_Rock,
Voici le rapport Bitdefender
| Citation : BitDefender - Fichier journal
|
Répondre à Chre
Re,
La rapport pour les malwares
| Citation : BitDefender - Fichier journal
|
Répondre à Chre
Bonsoir
Vu que tu suis notre formation, c'est le moment de t'entraîner.
Relis ces rapports et dis moi ce que tu ferais: (donne des exemples issus de tes logs à chaque fois)
Il y a 3 axes à reconnaître dans ces logs:
1- détections sans danger: quelles sont les actions à entreprendre?
2- détections où il faut faire des recherches: indique tes recherches
3- mise à jour d'un logiciel, lequel? <<------- là je t'aide bien donc tu me donneras un lien de sensibilisation à ce risque.
| Citation : Dans la vie, y'a deux sortes d'hommes : ceux qui creusent, et ceux qui ont un révolver. Toi, tu creuses. |
Message édité par Sham_Rock le 23-01-2009 à 21:06:59
| Sham_Rock a écrit : Bonsoir |
Bonjour vous,
Bonjour Sham_Rock,
| Sham_Rock a écrit : Vu que tu suis notre formation, c'est le moment de t'entraîner. |
Wouah, çà va être très chaud pour moi
Car je suis plus que débutant...
| Sham_Rock a écrit : Relis ces rapports et dis moi ce que tu ferais: (donne des exemples issus de tes logs à chaque fois) 1- détections sans danger: quelles sont les actions à entreprendre? |
1-Détections sans dangers Je ne suis pas sûr de comprendre la question. S'il s'agit des "détections" liées aux fichiers présents sur l'ordinateur de Spybot S&D ou à Malwerebytes Antimalwares, j'aurais tendance à dire que je ne fais aucune action ?
2-Détection où il faut faire des recherches
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini60.com/ : Drôle de site que ce "google", mais je ne trouve pas grand chose à ce propos sur Internet, voir même je reste bredouille...
O2 - BHO: milehighads browser enhancer - {3B1FBD1D-D9BF-71D3-59F9-5A94900607D9} - C:\WINDOWS\system32\ewkwujrondcvxklbn.dll : Celui-ci est plus que suspect à mes yeux, voir ici.
O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Program Files\Starware370\bin\Starware370.dll (file missing) : Celui-ci est à éradiquer immédiatement ![]()
O2 - BHO: (no name) - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - (no file) : Idem.
O2 - BHO: milehighads - {f7841d30-43a4-c3ca-2243-d0c654e2f8de} - C:\WINDOWS\system32\nsjB.dll : Infectieux
O3 - Toolbar: Starware Toolbar Musique - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Program Files\Starware370\bin\Starware370.dll (file missing) : Infectieux
O4 - HKLM\..\Run: [zbkxdmkeovhaiyy] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ewkwujrondcvxklbn.dll" : Drôle de ligne, même si je n'ai pas trouvé de lien sur Internet ; à cause d'un nom aléatoire je suppose. Je considère cette ligne comme infectieuse ?
O4 - HKCU\..\Run: [17648617940259666287569474313390] C:\Program Files\Antivirus 2009\av2009.exe : Infection antivirus 2009
Voilà, c'est tout ce que j'ai vu pour cette partie. J'ai raté des choses ? ![]()
3- Mise à jour d'un logiciel : Honnêtement, je suis dans le doute là... Je pense bien à Adobe Acrobat Reader ou à Java. Je creuse ! -> Java, c'est sûr il faut que le mette à jour de la version 'update 6' à la dernière 'update 11'.
Sham_Rock a écrit :
|
J'adore cette citation de Clint Eastwood dans Le bon, la brute et le truand même si je n'aime pas être dans la position de celui qui creuse
Je sens que la vie va être dure
Message édité par Chre le 24-01-2009 à 18:35:07
Répondre à Chre
re
il fallait juste que tu regardes les log de BitDefender... Ne t'occupe pas de HJT, on a tout nettoyé, maintenant, on peaufine.
je vais t'expliquer autrement.
| Citation : 1-Détections sans dangers Je ne suis pas sûr de comprendre la question. S'il s'agit des "détections" liées aux fichiers présents sur l'ordinateur de Spybot S&D ou à Malwerebytes Antimalwares, j'aurais tendance à dire que je ne fais aucune action ? |
tu dois pouvoir faire un truc pour ça:
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MailSkinnerrtk.zip
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip=]TDSSpaxt.sys Rootkit.TDss.G Aucune action possible
| Citation :
|
N'y aurait-il pas un problème?
| Citation : C:\System Volume Information\_restore{AA2CE32E-8175-4A59-A163-23E56D2CA5CE}\RP608\A0486134.exe Trojan.Generic.1370199 Supprimé |
Que faire par prudence? Vu qu'il est fort possible que ton AV n'ait pas tout détecté...
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour à vous,
Bonjour Sham_Rock,
| Sham_Rock a écrit : tu dois pouvoir faire un truc pour ça:
|
- Pour Spybot S&D, il suffit d'aller dans le programme et de supprimer les sauvegardes réalisées lors des analyses
- Pour 'Qoobox', je ne sais pas. Recherche faite, il s'agit de la quarantaine de Combofix, on peut aussi le lancer pour supprimer la quarantaine.
- Une autre façon de faire est d'utiliser un outil de nettoyage comme ToolsCleaner de AceRothstein ?
Sham_Rock a écrit :
|
Oui, effectivement, bizarre que les fichiers de Acrobat soient protégés par un mot de passe. Mais je ne trouve rien de flagrant sur Internet...
Sham_Rock a écrit :
|
Désactiver/réactiver la restauration système.
Message édité par Chre le 25-01-2009 à 09:27:14
Répondre à Chre
re
| Citation : # Pour 'Qoobox', je ne sais pas. Recherche faite, il s'agit de la quarantaine de Combofix, on peut aussi le lancer pour supprimer la quarantaine.
|
ou plus simplement, supprimer le dossier Qoobox ;O)
| Citation : Oui, effectivement, bizarre que les fichiers de Acrobat soient protégés par un mot de passe. Mais je ne trouve rien de flagrant sur Internet... |
hum, ta version est-elle à jour? ça représente-t-il un risque? regarde chez malekal
| Citation : Désactiver/réactiver la restauration système. |
vi, à faire en fin de désinfection, ce qui est le cas pour toi.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour vous,
Bonjour Sham_Rock,
Oui, il faut mettre à jour les programmes Adobe et Java pour éviter l'utilisation des failles de ces logiciels et donc l'infection de la machine. Mais pourtant, est-ce cela qui empêche le l'antivirus de scanner les fichiers PDF ?
| Citation : vi, à faire en fin de désinfection, ce qui est le cas pour toi. |
Ce qui veut dire que le nettoyage est fini ?
Message édité par Chre le 26-01-2009 à 07:10:56
Répondre à Chre
re
GG
| Citation : Mais pourtant, est-ce cela qui empêche le l'antivirus de scanner les fichiers PDF ? |
Je ne sais pas, mais ça te montre l'intérêt de lire la totalité des cans en ligne car parfois le tool butte sur un fichier, et c'est lui qui est infectieux.
| Citation : Ce qui veut dire que le nettoyage est fini ? |
Pour moi oui, à moins que tu aies d'autres soucis.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonsoir toutes et tous,
Bonsoir Sham_Rock,
Désactivation/Activation de la restauration système faite.
Mises à jour des programmes Adobe et Java à suivre.
Suppression des quarantaines Spybot S&D et 'Qoobox' à suivre également.
D'autres actions à réaliser ?
Répondre à Chre
bonsoir
| Citation : D'autres actions à réaliser ? |
nan... à part faire tes exos
Supprime tous les programmes installés pour la désinfection.
Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.
Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.
Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.
~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.
Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour à vous,
Bonjour Sham_Rock,
Rah, bonne nouvelle çà. Merci Sham_Rock.
Toutefois, que dois-je penser/faire des fichiers protégés par mot de passe qui n'ont pas pu être scannés par BitDefender ?
Par exemple, pas tout à fait au hasard
:
| Citation : C:\WINDOWS\sporder.zip=]sporder.Dll Protégé par mot de passe Aucune action possible |
Si j'en crois ceci, ce n'est pas sans risques ?
Répondre à Chre
re
http://www.bleepingcomputer.com/files/sporder.php
C:\WINDOWS\sporder.zip <<<--- la dll est dans le zip...
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour toutes et tous,
Bonjour Sham_Rock,
Alors voilà, le nettoyage est fini. Après les mises à jour de sécurité grâce à secunia.com, la suppression des fichiers Adobe6 protégés par mots de passe, la suppression des quarantaine spybot, mbam et combofix, une dernière passe avec BitDefender et MBAM... tout est rentré dans l'ordre.
A nouveau, merci beaucoup pour l'aide apportée Sham_Rock et si le hasard t'amènes sur la région de Nantes ; n'hésites pas, je te dois au moins deux verres de Muscadet à ce compte là ![]()
J'ai encore deux machines en réserve dont il faudra que je m'occupe, je vous dis donc à bientôt
! Et je ne suis pas encore assez avancé dans mes cours pour être entièrement autonome dans ces opérations.
Encore merci !
Message édité par Chre le 04-02-2009 à 07:30:06
Répondre à Chre
'soir
Seulement deux verres? Tu veux me faire mourir de soif?
@+
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Il y a 2320 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

