Win32:InstallBrain-AS [PUP]

Résolu
Chramne Messages postés 5 Statut Membre -  
Chramne Messages postés 5 Statut Membre -
Bonjour,

Je viens de détecter et de mettre en quarantaine une infection répondant au doux nom de Win32:InstallBrain-AS, et j'ai maintenant une belle page de phishing qui s'affiche en continue.

Si quelqu'un a une procédure pour me débarraser de cette vacherie je suis preneur.

D'avance merci,
Chramne.

8 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Suis la procédure suivante : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc
    Fournis les rapports AdwCleaner et OTL via le site pjjoint comme cela est demandé.
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    oui tu es infecté par Reveton.

    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    [2014/05/26 13:14:12 | 000,001,059 | ---- | C] () -- C:\Users\Wismerhill\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk
    [2013/06/08 05:57:00 | 000,000,151 | ---- | C] () -- C:\ProgramData\or3dz.reg
    [2013/06/08 05:57:00 | 000,000,056 | ---- | C] () -- C:\ProgramData\or3dz.bat
    [2013/06/08 05:56:57 | 095,023,320 | ---- | C] () -- C:\ProgramData\or3dz.pad
    [2013/06/08 05:56:55 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\rundll32.exe
    [2014/05/26 13:14:12 | 000,000,000 | ---D | C] -- C:\ProgramData\586BEEC84DCB9B325621EBAD3982AFC5
    O20 - HKLM Winlogon: Shell - (C:\PROGRA~3\or3dz.bat) - C:\ProgramData\or3dz.bat ()
    SRV - [2014/05/26 14:55:06 | 000,333,040 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\ProgramData\586BEEC84DCB9B325621EBAD3982AFC5\zv94zj0.dot -- (Winmgmt)

    * poste le rapport ici

    Redémarre l'ordinateur
    0
  3. Chramne Messages postés 5 Statut Membre
     
    Rapport OTL

    ========== OTL ==========
    C:\Users\Wismerhill\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk moved successfully.
    C:\ProgramData\or3dz.reg moved successfully.
    C:\ProgramData\or3dz.bat moved successfully.
    C:\ProgramData\or3dz.pad moved successfully.
    C:\ProgramData\rundll32.exe moved successfully.
    C:\ProgramData\586BEEC84DCB9B325621EBAD3982AFC5 folder moved successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\PROGRA~3\or3dz.bat deleted successfully.
    File C:\ProgramData\or3dz.bat not found.
    Service Winmgmt stopped successfully!
    Service Winmgmt deleted successfully!
    File C:\ProgramData\586BEEC84DCB9B325621EBAD3982AFC5\zv94zj0.dot not found.

    OTL by OldTimer - Version 3.2.69.0 log created on 05262014_162210
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ça va mieux ?

    Pour la détection Avast!, c'est simple un installeur dans ton dossier de Téléchargements, je pense.
    0
  6. Chramne Messages postés 5 Statut Membre
     
    Tout semble revenu à la normale.
    Un grand merci pour la disponibilité et l'efficacité.

    Je passe avec plaisir en résolu.

    /kiss
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pour les programmes parasites :

    Pour ne plus te faire avoir.
    A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

    ~~

    Pour le Ransomware Reveton (virus gendarmerie) :

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    ~~

    Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  8. Chramne Messages postés 5 Statut Membre
     
    Merci de tout ces conseils.
    Maintenant lecture et application :P
    0