[Résolu] [Résolu] Infection par "Antivirus 2009"
Forum Sécurité - Virus : [Résolu] [Résolu] Infection par "Antivirus 2009"
Lire la meilleure réponse, apportée par Sham_Rock.
Bonsoir,
Depuis quelques temps (début de l'année), l'ordinateur m'affiche en anglais des alertes "Antivirus 2009" comme quoi il est infecté, et une fenêtre "Windows Security Center" en anglais s'affiche et me dit que l'antivirus n'est pas trouvé.
Voir le résultat ici.
Je soupçonne une infection 
Voici le rapport hijackthis :
| Citation : Logfile of Trend Micro HijackThis v2.0.2
|
Toute aide sera chaleureusement appréciée !
Merci,
Christian.
Message édité par Chre le 04-02-2009 à 07:31:01
| Citation : D'autres actions à réaliser ? |
nan... à part faire tes exos 
Supprime tous les programmes installés pour la désinfection.
Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.
Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.
Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.
~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.
Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.
Bonsoir toutes et tous,
Bonsoir Sham_Rock,
Finalement, j'ai récupéré l'ordinateur avec moi, se sera plus facile et plus rapide que via MSN
Voici le rapport demandé :
| Citation : SmitFraudFix v2.388
|
Répondre à Chre
Re,
Cà devient chaud là 
Impossible de télécharger MBAM depuis tes liens (les sites sont "introuvables"...) ; en cherchant, j'ai réussi via clubic.com
Mais ensuite, çà plante à la fin de l'installation de MBAM, et malgré plusieurs tentatives, cette installation n'aboutit pas et je ne peux donc pas lancer le programme.
Que dois-je faire ? Merci.
Répondre à Chre
bonsoir
Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport
\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"
viens sur le forum et édition "coller"
AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour vous, bonjour Sham_Rock,
Que de misères, impossible de télécharger ComboFix, impossible de l'exécuter. Bref, je l'ai récupéré depuis un autre ordinateur et installé via une clé USB, en renommant le programme ComboFix.exe.
Voici, enfin, le rapport demandé
| Citation : ComboFix 09-01-16.03 - Gaec 2009-01-17 11:26:05.1 - NTFSx86
|
Les fichiers indiqués par ComboFix se trouvent ici.
Merci
Message édité par Chre le 17-01-2009 à 11:51:31
Répondre à Chre
bonsoir
on continue
1
Copie (Ctrl+C) le texte ci-dessous :
File::
|
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
2
Télécharge MalwareByte's Anti-Malware sur ton Bureau.
- Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées :
- Fais redémarrer ton ordinateur en mode sans échec
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.
- Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
- Afin de lancer la recherche, clic sur"Rechercher".
- Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!
Aide :
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
re
c'est que ça va pas mieux alors... 
1
Télécharge sur ton bureau FoxScan de Loup blanc
http://fradesch.perso.cegetel.net/transf/FoxScan.exe
laisse toi guider et poste le rapport généré.
supprime:
2
Copie (Ctrl+C) le texte ci-dessous :
File::
|
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Message édité par Sham_Rock le 19-01-2009 à 23:04:10
Re,
| Sham_Rock a écrit : c'est que ça va pas mieux alors... |
Sisi, je t'assure que çà va beaucoup mieux qu'avant pourtant 
Suppression des fichiers demandés faite.
Rapport TB
| Citation : -----------\\ ToolBar S&D 1.2.8 XP/Vista Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3 "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 ) -----------\\ Recherche de Fichiers / Dossiers ... C:\WINDOWS\iun6002.exe -----------\\ Extensions (Gaec) - {0538E3E3-7E9B-4d49-8831-A227C80A7AD3} => forecastfox
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
-----------\\ Fin du rapport a 22:52:33,68 |
Rapport FoxScan
| Citation : FoxScan Version 1.0.5
------------------------------------------------------
------------------------------------------------------ //////////// Plugins de recherche \\\\\\\\\\\\\ Recherche dans "perfs.js" : browser.search.defaultenginename : "Yoog Search" browser.search.defaulturl : "http://www5.yoog.com/search.php?q=" browser.search.selectedEngine : "Yoog Search" keyword.URL : "http://www5.yoog.com/search.php?q="
------------------------------------------------------
browserdirprovider.dll ------------------------------------------------------ //////////// Plugins configurés dans la Base de registre \\\\\\\\\\\\\ ------------------------------------------------------ //////////// Recherche additionnelles pour les infections Goored, YoogSearch... \\\\\\\\\\\\\
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.5\extensions] |
Message édité par Chre le 19-01-2009 à 22:59:16
Répondre à Chre
re
Copie (Ctrl+C) le texte ci-dessous :
File::
|
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour toutes et tous,
Bonjour Sham_Rock,
[EDIT : La bonne version du fichier .TXT avec l'option "retour automatique à la ligne" désactivée ]
Message édité par Chre le 21-01-2009 à 21:03:54
Répondre à Chre
alors?
si ça n'a pas marché... j'ai passé plusieurs heures sur ce problème de yoog search 
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
| Sham_Rock a écrit : alors?
|
Oooops ! Je suis vraiment désolé.
Yoog Search était toujours présent en haut à droite de Firefox, mais en reprenant le gestionnaire des moteurs de recherche, j'ai pu maintenant le supprimer et en mettre un autre. J'ai quitté et relancé Firefox, et j'ai bien conservé mon moteur de recherche par défaut.
Donc, je pense que c'est bon de ce point du vue du côté de Firefox
Répondre à Chre
enfin une bonne nouvelle.
pour starware et IE, je n'ai trouvé qu'une clé de recherche musicale que j'ai del avec le .reg. Il y a autre chose? 
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
| Sham_Rock a écrit : pour starware et IE, je n'ai trouvé qu'une clé de recherche musicale que j'ai del avec le .reg. Il y a autre chose? |
Pour starware et IE, j'ai donc fait la même chose avec le gestionnaire des moteurs de recherches de IE et... j'ai réussi à supprimer ces moteurs et à remettre mon moteur de recherche par défaut.
J'ai redemarré complètement l'ordi, dans IE et Firefox, je retrouve bien mes bons moteurs de recherche. C'est donc bon de ce côté là. Merci !
De "visible", reste mon problème de Bitdefender qui ne se lance toujours pas.
Répondre à Chre
re
désinstalle/réinstalle
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonsoir à vous,
Bonsoir Sham_Rock,
Pffffffiooooooo
Bitdefender est réinstallé, analyses en cours, je posterai les rapports à l'issue, il y en pour plusieurs heures de traitement, donc ce ne sera pas ce soir car là, dodo
Répondre à Chre
Bonjour vous,
Bonjour Sham_Rock,
Voici le rapport Bitdefender
| Citation : BitDefender - Fichier journal
|
Répondre à Chre
Re,
La rapport pour les malwares
| Citation : BitDefender - Fichier journal
|
Répondre à Chre
Bonsoir
Vu que tu suis notre formation, c'est le moment de t'entraîner.
Relis ces rapports et dis moi ce que tu ferais: (donne des exemples issus de tes logs à chaque fois)
Il y a 3 axes à reconnaître dans ces logs:
1- détections sans danger: quelles sont les actions à entreprendre?
2- détections où il faut faire des recherches: indique tes recherches
3- mise à jour d'un logiciel, lequel? <<------- là je t'aide bien donc tu me donneras un lien de sensibilisation à ce risque.
| Citation : Dans la vie, y'a deux sortes d'hommes : ceux qui creusent, et ceux qui ont un révolver. Toi, tu creuses. |
Message édité par Sham_Rock le 23-01-2009 à 21:06:59
| Sham_Rock a écrit : Bonsoir |
Bonjour vous,
Bonjour Sham_Rock,
| Sham_Rock a écrit : Vu que tu suis notre formation, c'est le moment de t'entraîner. |
Wouah, çà va être très chaud pour moi Car je suis plus que débutant...
| Sham_Rock a écrit : Relis ces rapports et dis moi ce que tu ferais: (donne des exemples issus de tes logs à chaque fois) 1- détections sans danger: quelles sont les actions à entreprendre? |
1-Détections sans dangers Je ne suis pas sûr de comprendre la question. S'il s'agit des "détections" liées aux fichiers présents sur l'ordinateur de Spybot S&D ou à Malwerebytes Antimalwares, j'aurais tendance à dire que je ne fais aucune action ?
2-Détection où il faut faire des recherches
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini60.com/ : Drôle de site que ce "google", mais je ne trouve pas grand chose à ce propos sur Internet, voir même je reste bredouille...
O2 - BHO: milehighads browser enhancer - {3B1FBD1D-D9BF-71D3-59F9-5A94900607D9} - C:\WINDOWS\system32\ewkwujrondcvxklbn.dll : Celui-ci est plus que suspect à mes yeux, voir ici.
O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Program Files\Starware370\bin\Starware370.dll (file missing) : Celui-ci est à éradiquer immédiatement
O2 - BHO: (no name) - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - (no file) : Idem.
O2 - BHO: milehighads - {f7841d30-43a4-c3ca-2243-d0c654e2f8de} - C:\WINDOWS\system32\nsjB.dll : Infectieux
O3 - Toolbar: Starware Toolbar Musique - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Program Files\Starware370\bin\Starware370.dll (file missing) : Infectieux
O4 - HKLM\..\Run: [zbkxdmkeovhaiyy] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ewkwujrondcvxklbn.dll" : Drôle de ligne, même si je n'ai pas trouvé de lien sur Internet ; à cause d'un nom aléatoire je suppose. Je considère cette ligne comme infectieuse ?
O4 - HKCU\..\Run: [17648617940259666287569474313390] C:\Program Files\Antivirus 2009\av2009.exe : Infection antivirus 2009
Voilà, c'est tout ce que j'ai vu pour cette partie. J'ai raté des choses ?
3- Mise à jour d'un logiciel : Honnêtement, je suis dans le doute là... Je pense bien à Adobe Acrobat Reader ou à Java. Je creuse ! -> Java, c'est sûr il faut que le mette à jour de la version 'update 6' à la dernière 'update 11'.
Sham_Rock a écrit :
|
J'adore cette citation de Clint Eastwood dans Le bon, la brute et le truand même si je n'aime pas être dans la position de celui qui creuse Je sens que la vie va être dure 
Message édité par Chre le 24-01-2009 à 18:35:07
Répondre à Chre
re
il fallait juste que tu regardes les log de BitDefender... Ne t'occupe pas de HJT, on a tout nettoyé, maintenant, on peaufine.
je vais t'expliquer autrement.
| Citation : 1-Détections sans dangers Je ne suis pas sûr de comprendre la question. S'il s'agit des "détections" liées aux fichiers présents sur l'ordinateur de Spybot S&D ou à Malwerebytes Antimalwares, j'aurais tendance à dire que je ne fais aucune action ? |
tu dois pouvoir faire un truc pour ça:
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MailSkinnerrtk.zip
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip=]TDSSpaxt.sys Rootkit.TDss.G Aucune action possible
| Citation :
|
N'y aurait-il pas un problème?
| Citation : C:\System Volume Information\_restore{AA2CE32E-8175-4A59-A163-23E56D2CA5CE}\RP608\A0486134.exe Trojan.Generic.1370199 Supprimé |
Que faire par prudence? Vu qu'il est fort possible que ton AV n'ait pas tout détecté...
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour à vous,
Bonjour Sham_Rock,
| Sham_Rock a écrit : tu dois pouvoir faire un truc pour ça:
|
- Pour Spybot S&D, il suffit d'aller dans le programme et de supprimer les sauvegardes réalisées lors des analyses
- Pour 'Qoobox', je ne sais pas. Recherche faite, il s'agit de la quarantaine de Combofix, on peut aussi le lancer pour supprimer la quarantaine.
- Une autre façon de faire est d'utiliser un outil de nettoyage comme ToolsCleaner de AceRothstein ?
Sham_Rock a écrit :
|
Oui, effectivement, bizarre que les fichiers de Acrobat soient protégés par un mot de passe. Mais je ne trouve rien de flagrant sur Internet...
Sham_Rock a écrit :
|
Désactiver/réactiver la restauration système.
Message édité par Chre le 25-01-2009 à 09:27:14
Répondre à Chre
re
| Citation : # Pour 'Qoobox', je ne sais pas. Recherche faite, il s'agit de la quarantaine de Combofix, on peut aussi le lancer pour supprimer la quarantaine.
|
ou plus simplement, supprimer le dossier Qoobox ;O)
| Citation : Oui, effectivement, bizarre que les fichiers de Acrobat soient protégés par un mot de passe. Mais je ne trouve rien de flagrant sur Internet... |
hum, ta version est-elle à jour? ça représente-t-il un risque? regarde chez malekal
| Citation : Désactiver/réactiver la restauration système. |
vi, à faire en fin de désinfection, ce qui est le cas pour toi.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour vous,
Bonjour Sham_Rock,
Oui, il faut mettre à jour les programmes Adobe et Java pour éviter l'utilisation des failles de ces logiciels et donc l'infection de la machine. Mais pourtant, est-ce cela qui empêche le l'antivirus de scanner les fichiers PDF ?
| Citation : vi, à faire en fin de désinfection, ce qui est le cas pour toi. |
Ce qui veut dire que le nettoyage est fini ?
Message édité par Chre le 26-01-2009 à 07:10:56
Répondre à Chre
re
GG
| Citation : Mais pourtant, est-ce cela qui empêche le l'antivirus de scanner les fichiers PDF ? |
Je ne sais pas, mais ça te montre l'intérêt de lire la totalité des cans en ligne car parfois le tool butte sur un fichier, et c'est lui qui est infectieux.
| Citation : Ce qui veut dire que le nettoyage est fini ? |
Pour moi oui, à moins que tu aies d'autres soucis.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
bonsoir
| Citation : D'autres actions à réaliser ? |
nan... à part faire tes exos
Supprime tous les programmes installés pour la désinfection.
Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.
Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.
Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.
~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.
Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour à vous,
Bonjour Sham_Rock,
Rah, bonne nouvelle çà. Merci Sham_Rock.
Toutefois, que dois-je penser/faire des fichiers protégés par mot de passe qui n'ont pas pu être scannés par BitDefender ?
Par exemple, pas tout à fait au hasard :
| Citation : C:\WINDOWS\sporder.zip=]sporder.Dll Protégé par mot de passe Aucune action possible |
Si j'en crois ceci, ce n'est pas sans risques ?
Répondre à Chre
re
http://www.bleepingcomputer.com/files/sporder.php
C:\WINDOWS\sporder.zip <<<--- la dll est dans le zip...
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
Bonjour toutes et tous,
Bonjour Sham_Rock,
Alors voilà, le nettoyage est fini. Après les mises à jour de sécurité grâce à secunia.com, la suppression des fichiers Adobe6 protégés par mots de passe, la suppression des quarantaine spybot, mbam et combofix, une dernière passe avec BitDefender et MBAM... tout est rentré dans l'ordre.
A nouveau, merci beaucoup pour l'aide apportée Sham_Rock et si le hasard t'amènes sur la région de Nantes ; n'hésites pas, je te dois au moins deux verres de Muscadet à ce compte là
J'ai encore deux machines en réserve dont il faudra que je m'occupe, je vous dis donc à bientôt ! Et je ne suis pas encore assez avancé dans mes cours pour être entièrement autonome dans ces opérations.
Encore merci !
Message édité par Chre le 04-02-2009 à 07:30:06
Répondre à Chre
'soir
Seulement deux verres? Tu veux me faire mourir de soif?
@+
/!\Marre de la pub: Firefox sécurisé/!\
Répondre à Sham_Rock
