4 Menaces:win32:Reveton-SZ,win32:Reveton-RU,LNK:Reveton-A [Trj]

Résolu/Fermé
Johnny-la-banane Messages postés 5 Date d'inscription dimanche 24 novembre 2013 Statut Membre Dernière intervention 25 novembre 2013 - 24 nov. 2013 à 13:19
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 25 nov. 2013 à 12:26
Bonjour,

mon ordinateur est infecté par ses 4 menaces que je n'arrivent pas à supprimer:
win32:Reveton-SZ [Trj]
win32:Reveton-RU [Trj]
LNK:Reveton-A [Trj]
win32:Reveton-SZ [Trj]

Conséquences : Une fenêtre (lipixeltrack) s'ouvre systématiquement pour me proposer des mises à jour d'adobe ou me dire que j'ai gagné quelque chose. J'ai de la pub en plus, mon ordi rame! et certaine page Internet ne veulent pas s'ouvrir!

Je les ai mis en quarantaine.

Pour information, mon antivirus Avast m'indique qu'ils se trouvent ici.

C:\ProgramData\fl8j.dat
C:\ProgramData\qlrr.dat
C:\ProgramData\sdaksda.txt
C:\Users\John\AppData\LocalLow\Sun\Java\...\70b99e0-10d02c9b

Pouvez-vous m'aider à enlever ses menaces?
sachant que je n'y connais pas grand chose en informatique ;)

Bien cordialement,
Johnny-la-banane
A voir également:

7 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 24/11/2013 à 13:21
Salut,


Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.

puis :


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Johnny-la-banane Messages postés 5 Date d'inscription dimanche 24 novembre 2013 Statut Membre Dernière intervention 25 novembre 2013
24 nov. 2013 à 14:29
ok j'essaye tout de suite
merci
0
Johnny-la-banane Messages postés 5 Date d'inscription dimanche 24 novembre 2013 Statut Membre Dernière intervention 25 novembre 2013
24 nov. 2013 à 23:12
Merci pour vos explications qui m'ont guidé pas à pas. (super boulot pédagogue!)

Après avoir fait plusieurs fois le scan rapide et enlevé les fichiers infectés (64 au total!) petits à petits car le logiciel ne répondait plus pour certains (sauf en attendant plusieurs minutes).

Voici les liens des rapports :
https://pjjoint.malekal.com/files.php?id=20131124_v6q11y11r12o5

https://pjjoint.malekal.com/files.php?id=20131124_v8i10o69s5

En espérant que vous arriviez à désinfecter mon ordinateur...

Bien cordialement,
Johnny-la-banane
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
25 nov. 2013 à 08:38
tu as deux antivirus Norton Et Avast!.
Un seul antivirus par PC, ça ralentit l'ordinateur et peux générer des plantages.


Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
IE - HKU\S-1-5-21-3351499233-3953223757-2507603360-1000\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKU\S-1-5-21-3351499233-3953223757-2507603360-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100632&mntrId=35fec6130000000000000025563113a5 <b>[Pays US - 198.20.96.180]</b>
CHR - Extension: No name found = C:\Users\John BRISTEAU\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.6_0\
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
[2013/11/21 14:51:40 | 000,000,000 | ---D | C] -- C:\Users\John BRISTEAU\AppData\Roaming\eCyber
[2013/11/21 14:48:53 | 000,000,000 | ---D | C] -- C:\Users\John BRISTEAU\AppData\Roaming\iSafe
[2013/11/21 14:51:40 | 000,000,000 | ---D | M] -- C:\Users\John BRISTEAU\AppData\Roaming\eCyber
[2013/06/20 14:49:39 | 095,023,320 | ---- | C] () -- C:\ProgramData\j8lf.pad
[2013/06/05 16:18:56 | 095,023,320 | ---- | C] () -- C:\ProgramData\rrlq.pad

* poste le rapport ici
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Johnny-la-banane Messages postés 5 Date d'inscription dimanche 24 novembre 2013 Statut Membre Dernière intervention 25 novembre 2013
25 nov. 2013 à 09:26
Effectivement il y avait norton avant je crois. Il me semblait que sa désactivation avait fonctionné puisqu'il n'y avait qu'avast qui me demandait des mises à jours.

En tout cas voici le rapport après avoir fait la correction :

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3351499233-3953223757-2507603360-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{B922D405-6D13-4A2B-AE89-08A030DA4402} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ deleted successfully.
C:\Program Files\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll moved successfully.
Registry key HKEY_USERS\S-1-5-21-3351499233-3953223757-2507603360-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
C:\Users\John BRISTEAU\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.6_0 folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ not found.
File C:\Program Files\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{B922D405-6D13-4A2B-AE89-08A030DA4402} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ not found.
File C:\Program Files\pdfforge Toolbar\IE\4.6\pdfforgeToolbarIE.dll not found.
C:\Users\John BRISTEAU\AppData\Roaming\eCyber\sysicons folder moved successfully.
C:\Users\John BRISTEAU\AppData\Roaming\eCyber folder moved successfully.
C:\Users\John BRISTEAU\AppData\Roaming\iSafe\SendTo folder moved successfully.
C:\Users\John BRISTEAU\AppData\Roaming\iSafe\ico folder moved successfully.
C:\Users\John BRISTEAU\AppData\Roaming\iSafe folder moved successfully.
Folder C:\Users\John BRISTEAU\AppData\Roaming\eCyber\ not found.
C:\ProgramData\j8lf.pad moved successfully.
C:\ProgramData\rrlq.pad moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 11252013_091939



Merci,
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
25 nov. 2013 à 09:34
ca doit être bon :)


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

0
Johnny-la-banane Messages postés 5 Date d'inscription dimanche 24 novembre 2013 Statut Membre Dernière intervention 25 novembre 2013
25 nov. 2013 à 09:46
Super :) tu es génial!

je vais maintenant faire tout ce que tu m'as conseillé

et le dire à mes proches pour t'éviter de rabacher toujours la même chose ;)

Nb : c'est la première fois que je demande de l'aide sur un site Internet et je suis enchanté du résultat. C'est un vrai service!

Est-il possible de faire un don ou autres chose pour continuer à faire vivre ce site?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
25 nov. 2013 à 12:26
bha CCM a pas besoin de sous, ils en ont déjà plein :))
0