Infecté windows sécurity alert (thinkpoint) Résolu/Fermé

Question

Bonjour, 

Je suis infecté depuis hier par windows security alert qui me bloque tout.
J'ai eu la fenêtre thinkpoint où je n'ai pas cliqué!
J'ai fait un scan avec ZHPDIAG que je vous transmet par ci-joint:
http://www.cijoint.fr/cjlink.php?file=cj201010/cij2hYb85W.txt 

Merci beaucoup pour votre aide!
Cordialement.
Configuration: Windows XP SP3 / Internet Explorer 8

plopus · Answer

salut


* Télécharge sur le bureau [url=https://www.luanagames.com/index.fr.html][b]RogueKiller[/b][/url] (par tigzy)
*[b] Sous XP Home[/b], télécharger également [url=https://www.luanagames.com/index.fr.html]Cette archive[/url]. la dézipper sur le bureau. Les 2 fichiers extraits doivent être à côté de RogueKiller.
Vous n'avez pas à cliquer dessus ou les lancer!
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape [b]1 [/b] et valide
* Si le programme demande pour supprimer le proxy, tapez[b]1[/b] si vous êtes sûr que ce n'est pas vous qui l'avez mis, sinon taper 2
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

NOTE: taper [b]2[/b] pour mode suppression
NOTE: S'il y a un proxy de trouvé , taper 1 pour la suppression


puis


    *  Télécharge Malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

chercheur38 · Answer

Merci, Ploplus
 Je n'était pas chez moi pour te répondre.
J'ai fait  (à tout hasard) un MBAM et il a trouve et supprimé 4 fichiers.
Je te joins le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4904

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/10/2010 23:02:51
mbam-log-2010-10-21 (23-02-51).txt

Type d'examen: Examen complet (I:\|J:\|K:\|L:\|)
Elément(s) analysé(s): 237501
Temps écoulé: 37 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
I:\Documents and Settings\JMB\Application Data\hotfix.exe (Rogue.FakeMSE) -> Quarantined and deleted successfully.
I:\Documents and Settings\JMB\Local Settings\Temp\cdce.exe (Rogue.FakeMSE) -> Quarantined and deleted successfully.
I:\Documents and Settings\JMB\Local Settings\Temporary Internet Files\Content.IE5\X059VK50\gtovqub[1].htm (Rogue.FakeMSE) -> Quarantined and deleted successfully.
I:\Documents and Settings\JMB\Local Settings\Temporary Internet Files\Content.IE5\X059VK50\gtovqub[2].htm (Rogue.FakeMSE) -> Quarantined and deleted successfully.
e (Trojan.Orsam) -> Quarantined and deleted successfully.

Je vais quand même faire un scan avec rkiller!

chercheur38 · Answer

Voilà, j'ai donc fait rkiller et voici le rapport: RogueKiller V2.2.0 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Remontées: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Scan Bad processes: Found: \...\Internet Settings\ ProxyServer : Finished Est-ce bien nettoyé? Cordialement.

plopus · Answer

salut

supprile le rapport que tu as de rkiller.

quand tu as lancer Rkiller, et qu'il ta demander de supprimer le proxy, tu as taper 1 ?

bref si tu as pas de proxy et ou si tu sais meme pas ce que c'est, relance rkiller et quand il te demande pour le proxy, tu tape 1

et reposte le rapport

puis

desactive ton antivirus et TOUTES tes protections

clic droit sur l'url ci dessous et choisit enregistré la cible du lien sous
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tu choisit l'emplacement du BUREAU et tu RENOMME le fichier en ton prenom par exemple

puis lance combofix, suit les indications, il te sera demander d'installer la console de recuperation, fait le puis
DEBRANCHE LE CABLE INTERNET ou la wifi et poursuit la recherche des nuisibles

une fois le scan fait enregsitre le rapport et poste le ici dans ta prochaine reponse

ATTENTION : si ton PC a des dysfocntionnement a la suite de combofix, REDEMARRE TON PC et tout rentera dans l'ordre

chercheur38 · Answer

J'ai fait un autre rkiller et voici ce qu'il me dit:
 
 
http://www.cijoint.fr/cjlink.php?file=cj201010/cij3FrbMg9.docx 

Qu'en penses-tu?

En fait, j'ai deux PC branché sur une livebox, est-ce l'explication pour le proxy?
Sinon à quoi sert-il?
Cordialament.

plopus · Answer

re

un proxy c'est sa :  https://fr.wikipedia.org/wiki/Proxy

dans ton cas utiliser par un malware bref oublie sa pour l'instant et passe a combofix stp et poste le rapport suite EXACTEMENT ce qui a marquer

chercheur38 · Answer

J'ai fait comme tu as dit. Changer de nom de logiciel sur le bureau, puis J'ai eu une fenêtre erreur avec une croix.
Le PC a ensuite redemarrer. Un fenêtre vide style cmd s'est affichée .
Je n'ai pas pu aller plus loin.

plopus · Answer

re

réessaye, au pire redemarre ton PC au bip tapote F8et choisit mode sans echec et réessaye poste bien le rapport à la fin

chercheur38 · Answer

C'est bon je te joint le rapport combofix:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijsGN7LRq.txt 

Merci.

plopus · Answer

ok 

reposte un nouveau ZHPdiag heberger, on va faire un script pour supprimer ce qui reste

chercheur38 · Answer

Voici le rapport ZHPDIAG:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijlRzufAN.txt 

Merci.

chercheur38 · Answer

J'ajoute que je n'ai jamais téléchargé msn messenger et qu'il apparait dans des lignes.
Si on peut les supprimmer c'est OK!
J'ai entendu parler d'un virus transmis par msn messenger!!??

plopus · Answer

slt 

Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte 
tu NOMME le fichier CFscript 
copie colle le contenu INTEGRAL qui ce trouve a l'interieur du lien dans ton nouveau fichier texte (blocnote) : 


http://www.cijoint.fr/cj201010/cij7WFRgpY.txt 


Sauvegarde bien le fichier, a oter de l'icone de combofix avec le nom suivant : CFScript.txt 
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer) 
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  

une fois le rapport posté 


- Telecharge et installe CCleaner 
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 
- une fois installer, lance le 
- va dans option/avancé et decoche la  ligne "effacer les fichier plus vieux que...." 
- et nettoie plusieurs fois dans les onglets regsitre et nettoyeur plusieurs fois jusqu' a trouver 0erreur 


puis configure ton antivir comme sa : https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal 
fait une mise  ajour des signature de virus a l'ecran d'accueil d'antivir puis lance un scan, supprime tous ce qu'il trouve et poste le rapport 

puis 

     
Télécharge AD-Remover (de C_XX) sur ton Bureau. 
https://www.androidworld.fr/ 
:!: Déconnecte toi et ferme toutes les applications en cours :!: 
* Double-clique sur l'icône AD-Remover 
* Au menu principal, clique sur "Nettoyer" 
* Confirme le lancement de l'analyse et laisse l'outil travailler 
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) 

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )  


apres avoir poster les rapports dit moi comment va ton PC ?

chercheur38 · Answer

Merci pour la réponse, je m'y colle!

chercheur38 · Answer

Je te joins le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201010/cij5U2xhWa.txt

chercheur38 · Answer

J'ai fait le nettoyage avec ccleaner mais je n'arrive pas à supprimer une ligne qui revient à chaque fois que je la supprimme:
Extension de fichiers invalide	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} - 	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

plopus · Answer

re


pas grave pour CCleaner, passe a ADremover ensuite ce n'est pas fini

chercheur38 · Answer

Voilà le rapport antivir:

http://www.cijoint.fr/cjlink.php?file=cj201010/cij47gcNHe.txt 

Merci,
je vais faire ad R.

chercheur38 · Answer

Voici le rapport AD-R:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijU0hvNt1.txt

plopus · Answer

slt



relnace malwarebyte va dans onglet 'mise ajour' et clic sur rechercher patiente le temps qu'elle s'installe puis fait un scan RAPIDE et poste le rapport

ensuite poste un nouveau ZHPdiag


as tu encore des problemes ?( il reste des choses a virer encore)

chercheur38 · Answer

Je t'envoie le rapport MBAM rien trouvé:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijCumv7i3.txt 

et voici le ZHPDIAG:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijWjWWsL9.txt 

ESt-il posible de supprimer msn, car je il n'apparait pas quand je veux le supprimer (dans ccleaner)?
On peut encore virer des choses même si je n'ai pas eu d'autres alertes!
Merci encore.

plopus · Answer

RE

DONC ON VA REGARDER POUR msn /

va dan demarrer/panneau de configuration/ajout et suppression de programmme (desinstaller un programme) et desinstalle :

 Softonic_France Toolbar 
radiodofus Toolbar 
 Java 6 Update 17 

ce sont des toolbars qui ralentissent la navigations et sont inutiles

et tu peux aussi supprimer les programmes que tu souhaite dans cette fenetre MAIS UNIQUEMENT CE QUE TU CONNAIS, pas des programmes que tu connais pas !!

je ne vois pas non plus de  MSN sur ton PC, pourqu'oi tu en parle ?


puis


* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
(Sous Vista ou 7, en faisant un clic droit en tant qu'administrateur)
* Copie les lignes suivantes :

---------------------------------------------------

O64 - Services: CurCS - I:\DOCUME~1\JMB\LOCALS~1\Temp\gAGP440p.sys (.not file.) - gAGP440p (gAGP440p)  .(.Pas de propriétaire - Pas de description.) - LEGACY_GAGP440P     
O69 - SBI: SearchScopes [HKCU] {EFE76C7A-F164-4b36-B480-5364035C7B60} - (Google) - http://www.google.com%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=fr&q=/...{searchTerms} 


---------------------------------------------------

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse


et enfin installe la dernier version de JAVA  : https://www.java.com/fr/download/


puis si plus de probleme :

verfie la vulnerabilité de windows et aussi d'autre produits, tu desinstalle les ancienne version des logiciels que tu dois mettre a jour

- Soit par le biais de ce site internet il faut installer l'active X puis
clic start scan et le site montre d'une croix rouge les faille de
sécurité pour quelques produits important installé sur le PC comme
java, IE, windows, flashplayer, adobe...les + importantes
https://www.flexera.com/products/operations/software-vulnerability-management.html

- Soit on peut aussi passer par un logiciel a installer qui scan le PC et
affiche TOUTES les mises a jour des logiciels et produits installé sur
le PC
https://filehippo.com/windows/tuning-utilities/

puis

Sous VISTA

==> Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
https://www.androidworld.fr/

* Va dans démarrer puis panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.

---------------------------------------------------------------------------------


Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

    * Télécharge Toolscleaner sur ton Bureau
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
    * Double-clique sur ToolsCleaner2.exe et laisse le travailler
    * Clique sur Recherche et laisse le scan se terminer.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options facultatives.
    * Clique sur Quitter, pour que le rapport puisse se créer.
    * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse

repasse un coup de ccleaner regsitre compris 

puis purge ta restauration avec sa https://www.commentcamarche.net/faq/5097-virus-system-volume-information
puis creer un point de restauration sain avec sa https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

et passe ton sujet en resolu  ;)

chercheur38 · Answer

Je parlais de msn car j'avais vu des lignes avec msn et messanger, je pensais qu'il avait quelquechose d'installer.
Merci en tout cas pour ton aide précieuse.Je n'aurais pas réussi tout seul.
Par contre sait-tu comment supprimer une redirection vers un site gomeo? Car sur mon deuxième PC, lorsque je fais une recherche , il me dirige toujours sur ce site!
Merci si tu peux me répondre.
Cordialement.

plopus · Answer

oublie pas de faire la procedure donner en entiere ! 

pour ton deuxieme PC, c'est nouveau comme infection, soit sa viens d'un module complementaire, soit des fois sa vient d'une infection vraiment pas gentille...... 
on peut regarder si tu veux, poste un ZHPdiag de ton 2eme PC, APRES AVOIR poster les rapports et fait les manips demandées sur ton 1er PC

chercheur38 · Answer

Je suis bloqué car je n'arrive pas à installer JAVA car il me dit qu'il est déjà installé. J'ai désinstallé celui que j'avais puis J'ai nettoyé par cccleaner mais toujours rien.
Je te joins déjà quand même le RAPPORT ZHPDIAG de mon PC N°2:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijfM2XaUQ.txt 

comme çà tu l'auras.

plopus · Answer

tu as fait la partie ZHPFIX, si non fait le et poste le rapport


sur le PC 2, rien de special en apparence mais fait quand meme sa :


desactive ton antivirus et TOUTES tes protections

clic droit sur l'url ci dessous et choisit enregistré la cible du lien sous
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tu choisit l'emplacement du BUREAU et tu RENOMME le fichier en ton prenom par exemple

puis lance combofix, suit les indications, il te sera demander d'installer la console de recuperation, fait le puis
DEBRANCHE LE CABLE INTERNET ou la wifi et poursuit la recherche des nuisibles

une fois le scan fait enregsitre le rapport et poste le ici dans ta prochaine reponse

ATTENTION : si ton PC a des dysfocntionnement a la suite de combofix, REDEMARRE TON PC et tout rentera dans l'ordre

chercheur38 · Answer

Voilà le rapport tool cleaner
http://www.cijoint.fr/cjlink.php?file=cj201010/cijFatUI0B.txt 

Pour Java , il n'apparait pas dans suppression programme ni dans ccleaner.
j'ai dû supprimer manuellement l'ancien JAVA mais il reste un fichier registre que je n'arrive pas à supprimer

chercheur38 · Answer

Désolé j'ai fais un oubli pour le rapport ZHPFIX:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijxx5X1iN.txt 

J'ai essayé avec javara ,il me fais une suppression mais lorsque je veux installer le nouveau java, il me dit qu'il y déjà java d'installé!!
pas de traces sur ccleaner ni panneau configuration??!!

plopus · Answer

salut

@ littleBoy, bonne idée mais apparament a marche pas  :( .


@ chercheur38 : tu peux passer a combofix sur ton 2eme PC, pour java j'avoue que la je ne sais pas trop on verra la fin, et si sa le fait aussi sur le 2eme PC, car java n'est pas a jour non plus !!

chercheur38 · Answer

Merci à tous pour votre aide.
J'ai plein de petit problèmes en plus de java.
Affichage d'assistant recherche disparu
favoris internet fonctionnent plus
barre de tache internet où plusieurs outils fonctionnent plus.
DONC!
Formatage et réinstallation.
Pour le PC N°2, j'avais un DD d'avance et préinstallé
Je ne vais pas vous faire perdre votre précieux temps.
J'ai bien apprécié votre aide!

Merci encore.
Je finaliserai en "résolu" dès que j'aurais tout installé et vérifier.
Merci encore!!

chercheur38 · Answer

Mon PC est formaté et installé, tout fonctionne correctement.je vais faire un ZHPDIAG pour avoir une référence.
Par prévention , je vais créer un compte utilisateur "limité" pour surfer sur le net et le compte administrateur sera réservé pour les install et modifs car j'ai lu dans des forums que les "malwares ou autres" s'installent plus facilement quand on est logué en compte administrateur.
J'ai plusieurs partitions et j'ai "désactiver mes restaurations" et ensuite réactiver donc je pense que pour ces partitions non système, que je n'ai pas formaté, cela devrait être OK.
Si vous avez des remarques, n'hésitez pas.
Je m'occupe du PC N°2 et je clos en résolu.
cordialement.

chercheur38 · Answer

Bonjour, 
J'ai XP PRO SP2 et SP3.

chercheur38 · Answer

J'ai donc créer 2 comptes utilisateurs. 
Et apparemment tout fonctionne bien.
Je joins le rapport ZHPDIAG pour vérifier:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijJX7Eg2p.txt 

Merci à tous!
Si c'est OK pour le rapport je clos en résolu.

plopus · Answer

slt

le rapport est clean, puis si tu as formater en plus  ;)

@+

chercheur38 · Answer

C'est OK pour moi.
Merci en tout cas pour votre aide!!
J'ai appris beaucoup de choses.

Cordialement.