Rootkit-gen et webssearches

Résolu/Fermé
Kak11* Messages postés 12 Date d'inscription samedi 7 juin 2014 Statut Membre Dernière intervention 29 août 2014 - 7 juin 2014 à 16:30
Kak11* Messages postés 12 Date d'inscription samedi 7 juin 2014 Statut Membre Dernière intervention 29 août 2014 - 10 juin 2014 à 14:14
Bonjour,


Mon ordi est infecté par ce rootkit, et sûrement bien d'autres choses vu la fréquence à laquelle Avast me prévient!
Quelqu'un aurait-il une solution afin de nettoyer correctement mon ordinateur svp?
Je suis sous Windows 7.
Merci beaucoup

21 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 juin 2014 à 16:32
Salut,

Détecté dans quel fichier ?
0
Kak11* Messages postés 12 Date d'inscription samedi 7 juin 2014 Statut Membre Dernière intervention 29 août 2014
7 juin 2014 à 16:41
Bonjour,

Avast m'a demandé de faire un scan avant le démarrage de l'ordi et voilà ce qu'il y avait sur l'écran:

Fichier C:\users\C...\AppData\Local\Temp\fullpackage_temp1397768601\tmp\wpm.exe est infecté par win32:Rootkit-gen [Rtk]
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 juin 2014 à 17:11
mets en quarantaine,

pour voir:

Faire un Scan OTL - Temps : Environ 40min
=============================================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge OTL sur ton bureau
* http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
* ou : https://www.commentcamarche.net/telecharger/utilitaires/16705-otl/
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


0
Kak11* Messages postés 12 Date d'inscription samedi 7 juin 2014 Statut Membre Dernière intervention 29 août 2014
7 juin 2014 à 18:07
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 juin 2014 à 19:36
* Relance OTL.
Copie/colle le script ci-dessous en gras dans la fenêtre OTL, tout en bas, dans la partie Personnalisation.


:OTL
SRV - [2014/04/17 00:53:12 | 000,350,496 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\ScanTack\updateScanTack.exe -- (Update ScanTack)
SRV - [2014/04/11 04:05:52 | 000,705,136 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Running] -- C:\ProgramData\IePluginService\PluginService.exe -- (IePluginService)
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.webpageing.com/?type=hp&ts=1397768614&from=tugs&uid=ST31000524AS_6VPHX5MQXXXX6VPHX5MQ <b>[Pays US - 69.28.58.38]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.webpageing.com/?type=hp&ts=1397768614&from=tugs&uid=ST31000524AS_6VPHX5MQXXXX6VPHX5MQ <b>[Pays US - 69.28.58.38]</b>
IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.webpageing.com/?type=hp&ts=1397768614&from=tugs&uid=ST31000524AS_6VPHX5MQXXXX6VPHX5MQ <b>[Pays US - 69.28.58.38]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.webpageing.com/?type=hp&ts=1397768614&from=tugs&uid=ST31000524AS_6VPHX5MQXXXX6VPHX5MQ <b>[Pays US - 69.28.58.38]</b>
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE - HKU\S-1-5-21-860770389-499229693-1453937204-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.webpageing.com/?type=hp&ts=1397768614&from=tugs&uid=ST31000524AS_6VPHX5MQXXXX6VPHX5MQ <b>[Pays US - 69.28.58.38]</b>
IE - HKU\S-1-5-21-860770389-499229693-1453937204-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
CHR - Extension: Freeven pro 1.2 = C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\crossrider
CHR - Extension: Freeven pro 1.2 = C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\
CHR - Extension: MediaPlayerplus = C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\crossrider
CHR - Extension: MediaPlayerplus = C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\
O2 - BHO: (IETabPage Class) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited)
O2 - BHO: (ScanTack) - {d332cff8-358e-4c9e-8af3-a08872ef22c1} - C:\Program Files (x86)\ScanTack\ScanTackBHO.dll (ScanTack)



Clic sur Correction.


* poste le rapport ici
0
Kak11* Messages postés 12 Date d'inscription samedi 7 juin 2014 Statut Membre Dernière intervention 29 août 2014
7 juin 2014 à 19:47
Voilà le rapport:



========== OTL ==========
Error: Unable to stop service Update ScanTack!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update ScanTack deleted successfully.
C:\Program Files (x86)\ScanTack\updateScanTack.exe moved successfully.
Service IePluginService stopped successfully!
Service IePluginService deleted successfully!
C:\ProgramData\IePluginService\PluginService.exe moved successfully.
HKLM\SOFTWARE\Microsoft \Internet Explorer \Main\\Default_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ not found.
HKU\S-1-5-21-860770389-499229693-1453937204-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-860770389-499229693-1453937204-1001\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ not found.
File C:\Users\Carine\AppData\Local\Google\Chrome \User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\crossrider not found.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\js\lib\popupResource folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\js\lib folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\js\api folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\js folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\icons\actions folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\icons folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\extensionData\userCode folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\extensionData\plugins folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\extensionData folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0 folder moved successfully.
File C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\crossrider not found.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\js\lib\popupResource folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\js\lib folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\js\api folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\js folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\icons\actions folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\icons folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\extensionData\userCode folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\extensionData\plugins folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\extensionData folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0 folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}\ deleted successfully.
C:\Program Files (x86)\SupTab\SupTab.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d332cff8-358e-4c9e-8af3-a08872ef22c1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d332cff8-358e-4c9e-8af3-a08872ef22c1}\ deleted successfully.
C:\Program Files (x86)\ScanTack\ScanTackBHO.dll moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 06072014_194250
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 juin 2014 à 21:27
encore des alertes?
0
Kak11* Messages postés 12 Date d'inscription samedi 7 juin 2014 Statut Membre Dernière intervention 29 août 2014
7 juin 2014 à 22:47
oui, toujours.
J'ai en plus des tonnes de pub qui se mettent n'importe où sur les pages et que l'on ne peut pas fermer.
J'ai été obligée de couper le son de l'ordi car Avast m'indique sans arrêt des programmes malveillants.


Merci encore pour ton aide
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 juin 2014 à 09:52
Refais un scan OTL et donne les rapports par pjjoint.
0
Kak11* Messages postés 12 Date d'inscription samedi 7 juin 2014 Statut Membre Dernière intervention 29 août 2014
8 juin 2014 à 10:17
Bonjour,

Voici le lien:

https://pjjoint.malekal.com/files.php?id=20140608_x7f5s6n7t14

Je dois m'absenter jusqu'en début d'après-midi.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 juin 2014 à 14:11
Tu utilises quel navigateur ?
Tu as quoi comme modele de box/routeur ?
Tu as quelle genre de pubs ?
0
Kak11* Messages postés 12 Date d'inscription samedi 7 juin 2014 Statut Membre Dernière intervention 29 août 2014
8 juin 2014 à 16:16
J'utilise google chrome. En allant sur un forum un jour, il m'a été demandé de mettre à jour java. Depuis ma page d'accueil internet est websearches, même si j'essaie de remettre google et toutes les pubs se mettent partout sur l'écran.
Concernant les pubs, il y a de tout, de simples recherches que je peux faire à des pubs de sites de rencontres en tout genre...
Ma box est une box SFR.

Merci pour ton aide
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 juin 2014 à 16:18
reconfigure l'ouverture de pages sur Google Chrome pour virer websearches : https://www.malekal.com/reparer-google-chrome/?t=35837&start=

Vérifie aussi que le raccourci que tu utilises pour le lancer n'a pas l'adresse de websearches dans le champs cible.

Tout est expliqué dans la page plus haut.
0
C'est fait!
Effectivement, lorsque j'ouvre google chrome, websearches a disparu.
Super!
Aurais-tu une config de protection pour mon ordi?
J'ai W7 et Avast comme anti-virus. Autre chose à ajouter peut-être?
Je prends tous les conseils!
Je vais surfer un peu pour voir si j'ai toujours toutes ces pubs horribles.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 juin 2014 à 18:38
cool :)



Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.



Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


0
Je viens de finir la recherche avec l'anti-malware.
Je peux te faire passer le résultat? Je suis surprise de voir qu'il y apparaît des fichiers OTL.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 juin 2014 à 19:34
si tu veux.
0
Kak11* Messages postés 12 Date d'inscription samedi 7 juin 2014 Statut Membre Dernière intervention 29 août 2014
10 juin 2014 à 10:25
Bonjour,

Désolée, je n'avais pas vu que tu m'avais répondu!
De quelle manière puis-je t'envoyer tout ça?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 juin 2014 à 10:28
pjjoint :)
0
Kak11* Messages postés 12 Date d'inscription samedi 7 juin 2014 Statut Membre Dernière intervention 29 août 2014
10 juin 2014 à 13:50
ça n'accepte pas ce genre de fichier.
Enfin, j'essaie de t'envoyer le fichier xlm qu'il y a dans le dossier logs.
C'est ça?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 juin 2014 à 13:52
tu vas dans l'onglet rapport, puis historique des scans
tu prends le scan,
copier dans le presse papier
tu vas sur pjjoint,
tu colles en bas

tu envoies et donne le lien ici
0
Kak11* Messages postés 12 Date d'inscription samedi 7 juin 2014 Statut Membre Dernière intervention 29 août 2014
10 juin 2014 à 14:06
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 juin 2014 à 14:09
pas super lisible le format.

Toute façon,tu n'avais plus de problèmes et Malwarebytes à virer les restes.
Car le, c'est pour cela que je le donne en fin de procédures :)
0