Virus + cheval de Troie / findgala...

Question

Bonjour, 

Avant tout, je précise que mes connaissances en informatiques sont quasiment nulles, c'est tout juste si je sais faire un tableau excel. Mais je peux comprendre ce qu'on me demande. Donc merci d'avance à la personne tolérante qui pourra m'aider. Voici donc mon problème : mon PC a subi des attaques hier, alors que je surfais sur le web. Pour tout dire - car ça peut peut-être aider - je faisais une recherche google images concernant des t-shirts des Boston celtics, équipe de basket dont je suis fan. L'une des images apparaissant dans la première page de résultats me dirigeait vers un site : deezshirts.com / http://74.125.67.100/images?hl=fr&client=firefox-a&hs=Xg4&rls=org.mozilla:fr:official&channel=s&q=t-shirt%20boston%20celtics&um=1&ie=UTF-8&source=og&sa=N&tab=wi  

Je ne sais pas s'il y a un lien de cause à effet, toujours est-il que c'est à partir de ce moment qu'Avast s'est affolé, me mettant en garde contre l'intrusion de virus et autres cheval de troie. J'ai donc quitté ce site et voulu lancer un scan, sauf que j'ai une version gratuite qui apparemment était périmée. J'ai donc fait une mise à jour, mais rien de plus n'a pu se faire : on ne me proposait pas d'autre choix que de passer à la version payante. Ce que je n'ai pas fait car en allant sur des forums - anglophones pour la plupart - j'ai lu que certaines personnes ayant eu ce même problème se faisaient avoir par des virus qui « usurpaient » l'identité de ces anti-virus pour vous faire flipper et vous obliger à payer. Quelqu'un m'a donc conseillé d'installer malwarebytes, ce que j'ai fait. Cette fois le scan a marché et a détecté plus de 700 fichiers infectés, que j'ai mis en quarantaine et supprimés ensuite. Je peux si besoin envoyer le rapport. 
Je pensais être sorti d'affaire, sauf qu'en voulant me connecter à google agenda via mon navigateur (Firefox) un message d'alerte me disait que cette connexion n'était pas certifiée. J'ai essayé de le faire via Explorer, mais le même message s'est affiché. Or en essayant de déchiffrer le rapport, j'ai vu qu'un serveur ou je ne sais quoi appelé findgala se faisait passer pour Google, c'est du moins ce que j'ai compris. Cf ci-dessous : 
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=2045&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> No action taken. 

Peut-il y avoir un lien entre ce « findgala.com » qui se substitue à google.com, et les 2 messages d'avertissement qui s'ouvrent aussi bien sur Firefox que Explorer lorsque je veux me connecter à mon google agenda ? Pour le coup j'ai passé outre l'avertissement sur les conseils d'un technicien que j'ai eu en ligne, mais mon agenda reste indisponible. 

Quelqu'un peut-il m'éclairer sur la marche à suivre ? Faut-il que je désinstalle Avast qui est peut-être corrompu ? ou d'autres programmes ? 

Merci d'avance, et si besoin du rapport je peux l'envoyer 

Alexandre 




Configuration: Windows 7 / Firefox 3.6.3

gen-hackman · Answer

salut :

poste ton rapport de malwarebytes ici et renvoie le lien obtenu en echange :

http://www.cijoint.fr

gen-hackman · Answer

je remets le lien ici , ne reponds pas en Message privé mais sur ce topic stp :)

http://www.cijoint.fr/cjlink.php?file=cj201005/cijYBhev3V.txt

gen-hackman · Answer

tu n'as rien supprimé ?

Nick Drake · Answer

ok désolé

Nick Drake · Answer

si sur les conseils d'un technicien que j'ai eu en ligne : une fois que Malwarebytes a procédé au scan, j'ai tout mis en quarantaine et supprimé. J'aurais pas du ?

gen-hackman · Answer

sisi mais le rapport que tu montres , montre le contraire lol ^^

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Nick Drake · Answer

en fait je me suis mal exprimé le rapport envoyé correspond en effet à celui avant mise en quarantaine. J'ai le rapport fait aprrès mise en quarantaine + suppression. Donc avant de suivre la démarche ci-dessus veux-tu que je te l'envoie ? ou dois je d'emblée suivre cette démarche ? je pose la question pour ne pas te faire perdre du temps

gen-hackman · Answer

non tu peux suivre

Nick Drake · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cijzNLvbAr.txt

au cas où...

et ok je suis tes conseils, je te tiens au courant. Merci pour ton aide :)

Nick Drake · Answer

ca y est je vais t'envoyer ça. Par contre j'ai juste une question, dois-je cocher la case "rendre public" sur cjoint ou ne faut-il pas ? (comme tu dis de ne pas poster le rapport sur le forum, du coup peut-être qu'il vaut mieux pas le rendre public) Je sais, c'est un peu scolaire tout ça, mais je t'ai prévenu ; je suis une bille ;)

Nick Drake · Answer

Désolé j'étais en ligne..

OTL rapport : http://www.cijoint.fr/cjlink.php?file=cj201005/cijXQliigP.txt

+ Extras : http://www.cijoint.fr/cjlink.php?file=cj201005/cijb9Wseho.txt

PS je dois m'absenter suis de retour vers 13h30

Alex

gen-hackman · Answer

ok quelques mer***ouilles pas bien mechantes

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em

 et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Nick Drake · Answer

avant de lancer cette manip, une question : j'ai désactivé mon pare-feu windows, par contre je ne sais pas comment désactiver avast et malwarebytes : le sul choix qu'on me propose est de désinstaller..où dois-je aller ?

gen-hackman · Answer

lance-le comme ca il ne devrait pas y avoir de problemes

Nick Drake · Answer

ok merci

au fait je viens de recevoir cette réponse du technicien que j'ai appelé hier. je te la transmets.


"Bonjour,

Comme l'explique l'article que vous avez trouvé, ce « malware » empêche les antivirus de fonctionner correctement en simulant une erreur windows. 

Je vous conseille donc de redémarrer le poste. Lors du démarrage, appuyer sur F8 avant l'écran Windows puis selectionner le « mode sans échec avec prise en charge du réseau ». Une fois en mode sans échec , refaire une analyse avec malwarebyte afin de supprimer ce malware. Rebooter le pc ensuite.

Le mode sans échec consiste à lancer Windows avec le minimum de drivers ou services empêchant donc le lancement de toute application malveillante. "

je lance ta manip et te tiens au courant

gen-hackman · Answer

c'est pas totalement vrai ce qu'ils disent :

empêchant donc le lancement de toute application malveillante.

Nick Drake · Answer

c'est pour ça que je te transmet leur mail, car vu le peu d'intérêt qu'il m'a témoigné, je m'en remets complètement à ton expertise (process en cours pour list kill em)

gen-hackman · Answer

c'etait le technicien de qui ?

Nick Drake · Answer

et voilà monsieur !

http://www.cijoint.fr/cjlink.php?file=cj201005/ciji9KcWHC.txt

Nick Drake · Answer

le technicien de la boîte de maintenance censée nous venir en aide (le problème rencontré l'est depuis mon ordi au bureau)

gen-hackman · Answer

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

Nick Drake · Answer

et voilà 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijJNZuDi8.txt

gen-hackman · Answer

tu l'as bien executé avec le clic droit "executer en tant que...." ?

Nick Drake · Answer

oui > clic droit > exécuter en tant qu'administrateur

gen-hackman · Answer

bon refais un scan OTL stp

Nick Drake · Answer

ok

Nick Drake · Answer

je refais à l'identique avant de lancer l'analyse ? (cf post que tu m'as envoyé au début de ton intervention avec les case à cocher etc)

gen-hackman · Answer

non laisse comme ca ce n est plus utilie

Nick Drake · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cijE7PMvEN.txt

gen-hackman · Answer

&#9654 Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau.  

&#9654-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau. 
  
&#9654-Ouvre le dossier ZR_1.0.0.37 ==> double clic (pour vista / 7 = clic droit "executer en tant qu'.........") sur Zeb-Restore.exe  

&#9654- Coche la case devant : fichiers hosts 

&#9654- Ne coche aucune autre case  

&#9654-Clique sur Restaurer  

&#9654-Redémarre ton PC pour la prise en compte de cette action 

ensuite : 

&#9654 clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer. 


&#9654Copie la liste qui se trouve en gras ci-dessous, 

&#9654 colle-la dans la zone sous "Personnalisation" : 


:processes 
explorer.exe 
iexplore.exe 
firefox.exe 
msnmsgr.exe 
Teatimer.exe 

:Reg 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Adobe Reader Speed Launcher"=- 
"iTunesHelper"=- 
"QuickTime Task"=- 

:Files 
C:\ProgramData\MSGMDTOQE 
C:\ProgramData\8cff90c 

:commands 
[emptytemp] 
[start explorer] 
[reboot] 


&#9654 Clique sur "Correction" pour lancer la suppression. 


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage. 

?G3?-?@¢??@?(TM)©®?

Nick Drake · Answer

j'ai un souci : je coche sur la case fichier host puis fais restaurer et j'ai message me disant "erreur d'exécution '75' : erreur dans le chemin d'accès

gen-hackman · Answer

toujours clic droit / en tant que ?

Nick Drake · Answer

oui toujours.. il y a un dossier Backup qui se crée

gen-hackman · Answer

ok fais la suite on utilisera un autre outil plus compatible

Nick Drake · Answer

ca a pété au bureau donc il faut que je refasse la manip. Avant de la refaire, dois-je garder la même configuration qu'au début (cas purity et lopy cochées, 60 jours etc) ?

gen-hackman · Answer

non tu copies/colles comme indiqué le texte en gras et tu clic sur Correction

Nick Drake · Answer

je l'ai fait, mon ordi a mis un peu de temps à redémarrer, mais pas de rapport au redémarrage
ci-joint pour être sûr d'avoir bien compris, la configuration qd j'ouvre OTL (je n'ai touché à rien, j'ai juste copié le texte et appuyé sur correction

http://www.cijoint.fr/cjlink.php?file=cj201005/cijLvsV928.jpg

Nick Drake · Answer

tu t'en sors ?

Nick Drake · Answer

j'ai un souci : je dois partir pour un rdv dans 20mn et reviendrai seulement mardi.. Tu crois que je peux te recontacter la semaine prochaine ? à moins qu'on puisse régler ça dans les 20mm. merci  pour ton aide, j'attends ta réponse.

gen-hackman · Answer

oui tu n'auras qu a faire remonter le topic on continuera

regarde dans C:\_OTL\Mved Files\la_date_et_l'heure.txt

Nick Drake · Answer

J'ai refait la manip "correction". Ca a marché : j'ai un rapport mais il est format log et cijoint.fr ne le prend pas en charge.  tu veux que je te l'envoies sur ton mail perso ?

gen-hackman · Answer

non colle le contenu ici

Nick Drake · Answer

au fait je n'ai pas réactivé mon pare-feu windows, ça peut avoir un lien avec ces "bugs" dans la procédure ? Dois-je le réactiver ?

Nick Drake · Answer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task not found.
========== FILES ==========
File\Folder C:\ProgramData\MSGMDTOQE not found.
File\Folder C:\ProgramData\8cff90c not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Alexandre
->Temp folder emptied: 209282 bytes
->Temporary Internet Files folder emptied: 59794 bytes
->FireFox cache emptied: 15513849 bytes
->Flash cache emptied: 766 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2640 bytes
RecycleBin emptied: 74505 bytes
 
Total Files Cleaned = 15,00 mb
 
 
OTL by OldTimer - Version 3.2.5.0 log created on 05212010_165413

Files\Folders moved on Reboot...
File move failed. C:\Windows	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

gen-hackman · Answer

non je vais te donner une procedure de nettoyage + blindage , tu n auras plus besoin du parerien windows

Nick Drake · Answer

lol 

en tout cas merci vraiment pour ton temps et ta patience

PS je peux rester jusqu'à 17h30 s'il le faut, sinon on se reparle mardi. Dis-moi ce que tu préfères.

gen-hackman · Answer

pour l instant :

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Nick Drake · Answer

et voilà 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijMZymCzS.txt

gen-hackman · Answer

&#9654 Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista )

&#9654 fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert "ZHPFix".

&#9654 ZHPFix se lancera, clique maintenant sur le "H" bleu ( coller les lignes helper )

&#9654 copie/colle ce qui se trouve en gras ci-dessous :

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
O1 - Hosts: 74.125.45.100 4-open-davinci.com
O1 - Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 - Hosts: 74.125.45.100 privatesecuredpayments.com
O1 - Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O1 - Hosts: 74.125.45.100 getantivirusplusnow.com
O1 - Hosts: 74.125.45.100 secure-plus-payments.com
O1 - Hosts: 74.125.45.100 www.getantivirusplusnow.com
O1 - Hosts: 74.125.45.100 www.secure-plus-payments.com
O1 - Hosts: 74.125.45.100 www.getavplusnow.com
O1 - Hosts: 74.125.45.100 safebrowsing-cache.google.com
O1 - Hosts: 74.125.45.100 urs.microsoft.com
O1 - Hosts: 74.125.45.100 www.securesoftwarebill.com
O1 - Hosts: 74.125.45.100 secure.paysecuresystem.com
O1 - Hosts: 74.125.45.100 paysoftbillsolution.com
O1 - Hosts: 74.125.45.100 protected.maxisoftwaremart.com
O1 - Hosts: 173.236.107.243 www.google.com 
O1 - Hosts: 173.236.107.243 google.com 
O1 - Hosts: 173.236.107.243 google.com.au 
O1 - Hosts: 173.236.107.243 www.google.com.au
O1 - Hosts: 173.236.107.243 google.be 
O1 - Hosts: 173.236.107.243 www.google.be
O1 - Hosts: 173.236.107.243 google.com.br 
O1 - Hosts: 173.236.107.243 www.google.com.br
O1 - Hosts: 173.236.107.243 google.ca 
O1 - Hosts: 173.236.107.243 www.google.ca
O1 - Hosts: 173.236.107.243 google.ch 
O1 - Hosts: 173.236.107.243 www.google.ch
O1 - Hosts: 173.236.107.243 google.de 
O1 - Hosts: 173.236.107.243 www.google.de
O1 - Hosts: 173.236.107.243 google.dk 
O1 - Hosts: 173.236.107.243 www.google.dk
O1 - Hosts: 173.236.107.243 google.fr 
O1 - Hosts: 173.236.107.243 www.google.fr
O1 - Hosts: 173.236.107.243 google.ie 
O1 - Hosts: 173.236.107.243 www.google.ie
O1 - Hosts: 173.236.107.243 google.it 
O1 - Hosts: 173.236.107.243 www.google.it
O1 - Hosts: 173.236.107.243 google.co.jp 
O1 - Hosts: 173.236.107.243 www.google.co.jp
O1 - Hosts: 173.236.107.243 google.nl 
O1 - Hosts: 173.236.107.243 www.google.nl
O1 - Hosts: 173.236.107.243 google.no 
O1 - Hosts: 173.236.107.243 www.google.no
O1 - Hosts: 173.236.107.243 google.co.nz 
O1 - Hosts: 173.236.107.243 www.google.co.nz
O1 - Hosts: 173.236.107.243 google.pl 
O1 - Hosts: 173.236.107.243 www.google.pl
O1 - Hosts: 173.236.107.243 google.se 
O1 - Hosts: 173.236.107.243 www.google.se
O1 - Hosts: 173.236.107.243 google.co.uk 
O1 - Hosts: 173.236.107.243 www.google.co.uk
O1 - Hosts: 173.236.107.243 google.co.za 
O1 - Hosts: 173.236.107.243 www.google.co.za
O1 - Hosts: 173.236.107.243 www.google-analytics.com
O1 - Hosts: 173.236.107.243 www.bing.com
O1 - Hosts: 173.236.107.243 search.yahoo.com 
O1 - Hosts: 173.236.107.243 www.search.yahoo.com
O1 - Hosts: 173.236.107.243 uk.search.yahoo.com
O1 - Hosts: 173.236.107.243 ca.search.yahoo.com
O1 - Hosts: 173.236.107.243 de.search.yahoo.com
O1 - Hosts: 173.236.107.243 fr.search.yahoo.com
O1 - Hosts: 173.236.107.243 au.search.yahoo.com
[HKCU\Software\My Security Engine]

&#9654 Clique sur "Ok" , puis "Tous" et enfin "Nettoyer".

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message

Nick Drake · Answer

ZHPFix v1.12.3101  by Nicolas Coolman - Rapport de suppression du 21/05/2010 17:34:59
Fichier d'export Registre : C:\ZHPExportRegistry-21-05-2010-17-35-04.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé supprimée avec succès
HKCU\Software\My Security Engine  => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified  => Donnée supprimée avec succès

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
c:\program files\bonjour\mdnsresponder.exe  => Fichier supprimé au reboot

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijMZymCzS.txt  => Format Non supporté


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 0
Elément de données du Registre : 2
Dossier : 0
Fichier : 1
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 1


End of the scan

gen-hackman · Answer

ok voyons ce que donne ce que je t ai demandé ensuite

sinon prochaine fois mais ton pc se reinfectera par les hosts....

pas grave on continuera toute facon :)

Nick Drake · Answer

excuse moi mais là c'est moi qui bugg, tu peux me redire la manip OTL en mode sans échec, je m'y perds un peu là

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-17801909-virus-cheval-de-troie-findgala?full#30

fais gaffe à l'heure ^^

Nick Drake · Answer

oui merci de me le rappeler allé j'ai encore 5 mn donc soit on arrête là soit je fais cette dernière manip : ca sera tes devoirs du week-end ;)
blague à part, tu penses que mon pb va pouvoir être résolu prochainement?

Nick Drake · Answer

bon je dois partir,

passe un bon week-end et on reprend ça mardi

merci

alex

gen-hackman · Answer

ok

Nick Drake · Answer

salut Gen-Hackman,

je suis au bureau, donc si tu veux qu'on reprenne les choses ce matin, fais-moi signe

gen-hackman · Answer

ok salut j'attends les rapports OTL donc...

Nick Drake · Answer

je suis là par contre si ca ne t'ennuie pas peux-tu me rappeler la procédure OTL car je m'y perds un peu (je ne sais plus s'il faut cocher les cases lop et purity, mettre sur 60 jours, etc)

merci

gen-hackman · Answer

hello

https://forums.commentcamarche.net/forum/affich-17801909-virus-cheval-de-troie-findgala?full#30

Nick Drake · Answer

chui là

Nick Drake · Answer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task not found.
========== FILES ==========
File\Folder C:\ProgramData\MSGMDTOQE not found.
File\Folder C:\ProgramData\8cff90c not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Alexandre
->Temp folder emptied: 205645 bytes
->Temporary Internet Files folder emptied: 7056665 bytes
->FireFox cache emptied: 61899907 bytes
->Flash cache emptied: 1065 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8336 bytes
RecycleBin emptied: 76407 bytes
 
Total Files Cleaned = 66,00 mb
 
 
OTL by OldTimer - Version 3.2.5.0 log created on 05252010_172015

Files\Folders moved on Reboot...
File move failed. C:\Windows	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Nick Drake · Answer

t 'es toujours là ?

gen-hackman · Answer

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Nick Drake · Answer

et voilà PS je dois bouger dans 5-10 mn, et serai à nouveau joignable demain vers 11h

bonne fin de journée

alex


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4120

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

25/05/2010 18:18:13
mbam-log-2010-05-25 (18-18-13).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 181754
Temps écoulé: 19 minute(s), 23 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Nick Drake · Answer

ah juste un truc : comme tu le sais j'avais déjà malwarebytes installé (depuis 5 jours) , donc j'ai lancé l'examen complet, par contre j'ai zappé de faire la mise à jour, du coup je l'ai fait (la mise à jour) après avoir fait l'examen complet (qui a duré pas loin de 20 mn). Dois-je refaire un examen ?

gen-hackman · Answer

je voudrais lire un scan qui date de la mise à jour

Nick Drake · Answer

et voilà un scan avec la dernière mise à jour de malwarebytes


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4144

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

26/05/2010 11:04:24
mbam-log-2010-05-26 (11-04-24).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 183502
Temps écoulé: 19 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Nick Drake · Answer

bon j'ai du nouveau, à mon avis le dernier scan ne va pas t'apporter grand chose de plus. En revanche j'ai fait de mon côté un nouveau scan avec Windows Defender, que je n'avais jusque là pas mis à contribution. il m'a trouvé un petit bâtard qui avait trompé la vigilance des autre anti-virus
C:\Windows\system32\drivers\etc\hosts (catégorie : modificateur de paramètres , niveau d'alerte : moyen)

j'ai voulu le supprimer mais impossible, du coup je l'ai mis en quarantaine, et miracle, les problèmes d'ouverture de sites ou de redirection (comme pour google agenda) ont disparu.
la seule chose c'est que je ne le vois plus dans ma mise en quarantaine, et quand je relance un scan on me dit qu'il n'y a aucun fichier infecté.

sinon, j'ai trouvé cette manip mais je ne vois pas comment la mettre en application

https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default#top

Nick Drake · Answer

pour te tenir au courant tout semble fonctionner normalement. Après je m'en remets à ton jugement d'expert, s'il faut te renvoyer un rapport OTL (ou autre) pour vérification, fais-moi signe. En tout cas, merci 1000 fois pour ton aide qui m'a été précieuse, et qui m'a permis de me familiariser un peu avec des procédures que j'ignorais jusqu'alors, par ignorance ou manque d'intérêt. Je serai plus vigilant à l'avenir

gen-hackman · Answer

hello si tu n'as plus de soucis : Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ___________________________________________________ ▶ Tu peux supprimer ToolCleaner ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

Nick Drake · Answer

merci Mr Hackman (bonne réf au passage : French Connection et Mississipi burning sont certains de mes films préférés)

Nick Drake · Answer

problème résolu

gen-hackman · Answer

redemarre ton pc

Nick Drake · Answer

ouf ca remarche.
Bon j'ai fait la manip CCleaner, je continue..

gen-hackman · Answer

ok :)

Virus + cheval de Troie / findgala...

76 réponses

Discussions similaires

Newsletters