Rootkit-gen et webssearches

Résolu
Kak11* Messages postés 12 Date d'inscription   Statut Membre Dernière intervention   -  
Kak11* Messages postés 12 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,


Mon ordi est infecté par ce rootkit, et sûrement bien d'autres choses vu la fréquence à laquelle Avast me prévient!
Quelqu'un aurait-il une solution afin de nettoyer correctement mon ordinateur svp?
Je suis sous Windows 7.
Merci beaucoup
A voir également:

21 réponses

  • 1
  • 2
Réponse 1 / 21
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Détecté dans quel fichier ?
0
Réponse 2 / 21
Kak11* Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour,

Avast m'a demandé de faire un scan avant le démarrage de l'ordi et voilà ce qu'il y avait sur l'écran:

Fichier C:\users\C...\AppData\Local\Temp\fullpackage_temp1397768601\tmp\wpm.exe est infecté par win32:Rootkit-gen [Rtk]
0
Réponse 3 / 21
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
mets en quarantaine,

pour voir:

Faire un Scan OTL - Temps : Environ 40min
=============================================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge OTL sur ton bureau
* http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
* ou : https://www.commentcamarche.net/telecharger/utilitaires/16705-otl/
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


0
Réponse 4 / 21
Kak11* Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
Voici le lien:

https://pjjoint.malekal.com/files.php?id=20140607_x6b5d15h8t5
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
* Relance OTL.
Copie/colle le script ci-dessous en gras dans la fenêtre OTL, tout en bas, dans la partie Personnalisation.


:OTL
SRV - [2014/04/17 00:53:12 | 000,350,496 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\ScanTack\updateScanTack.exe -- (Update ScanTack)
SRV - [2014/04/11 04:05:52 | 000,705,136 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Running] -- C:\ProgramData\IePluginService\PluginService.exe -- (IePluginService)
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.webpageing.com/?type=hp&ts=1397768614&from=tugs&uid=ST31000524AS_6VPHX5MQXXXX6VPHX5MQ <b>[Pays US - 69.28.58.38]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.webpageing.com/?type=hp&ts=1397768614&from=tugs&uid=ST31000524AS_6VPHX5MQXXXX6VPHX5MQ <b>[Pays US - 69.28.58.38]</b>
IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.webpageing.com/?type=hp&ts=1397768614&from=tugs&uid=ST31000524AS_6VPHX5MQXXXX6VPHX5MQ <b>[Pays US - 69.28.58.38]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.webpageing.com/?type=hp&ts=1397768614&from=tugs&uid=ST31000524AS_6VPHX5MQXXXX6VPHX5MQ <b>[Pays US - 69.28.58.38]</b>
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
IE - HKU\S-1-5-21-860770389-499229693-1453937204-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.webpageing.com/?type=hp&ts=1397768614&from=tugs&uid=ST31000524AS_6VPHX5MQXXXX6VPHX5MQ <b>[Pays US - 69.28.58.38]</b>
IE - HKU\S-1-5-21-860770389-499229693-1453937204-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = https://www.google.com/webhp?gws_rd=ssl{searchTerms} <b>[Pays US - 69.28.58.38]</b>
CHR - Extension: Freeven pro 1.2 = C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\crossrider
CHR - Extension: Freeven pro 1.2 = C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\
CHR - Extension: MediaPlayerplus = C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\crossrider
CHR - Extension: MediaPlayerplus = C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\
O2 - BHO: (IETabPage Class) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited)
O2 - BHO: (ScanTack) - {d332cff8-358e-4c9e-8af3-a08872ef22c1} - C:\Program Files (x86)\ScanTack\ScanTackBHO.dll (ScanTack)



Clic sur Correction.


* poste le rapport ici
0
Réponse 6 / 21
Kak11* Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà le rapport:



========== OTL ==========
Error: Unable to stop service Update ScanTack!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update ScanTack deleted successfully.
C:\Program Files (x86)\ScanTack\updateScanTack.exe moved successfully.
Service IePluginService stopped successfully!
Service IePluginService deleted successfully!
C:\ProgramData\IePluginService\PluginService.exe moved successfully.
HKLM\SOFTWARE\Microsoft \Internet Explorer \Main\\Default_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ not found.
HKU\S-1-5-21-860770389-499229693-1453937204-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-860770389-499229693-1453937204-1001\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33BB0A4E-99AF-4226-BDF6-49120163DE86}\ not found.
File C:\Users\Carine\AppData\Local\Google\Chrome \User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\crossrider not found.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\js\lib\popupResource folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\js\lib folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\js\api folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\js folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\icons\actions folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\icons folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\extensionData\userCode folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\extensionData\plugins folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0\extensionData folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgpbjjcdccinnndjdgmegndbmhbgglb\1.26.17_0 folder moved successfully.
File C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\crossrider not found.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\js\lib\popupResource folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\js\lib folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\js\api folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\js folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\icons\actions folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\icons folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\extensionData\userCode folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\extensionData\plugins folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0\extensionData folder moved successfully.
C:\Users\Carine\AppData\Local\Google\Chrome\User Data\Default\Extensions\majjphhgppkndjjkmhhnbgafooenebhd\1.26.21_0 folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}\ deleted successfully.
C:\Program Files (x86)\SupTab\SupTab.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d332cff8-358e-4c9e-8af3-a08872ef22c1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d332cff8-358e-4c9e-8af3-a08872ef22c1}\ deleted successfully.
C:\Program Files (x86)\ScanTack\ScanTackBHO.dll moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 06072014_194250
0
Réponse 7 / 21
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
encore des alertes?
0
Réponse 8 / 21
Kak11* Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
oui, toujours.
J'ai en plus des tonnes de pub qui se mettent n'importe où sur les pages et que l'on ne peut pas fermer.
J'ai été obligée de couper le son de l'ordi car Avast m'indique sans arrêt des programmes malveillants.


Merci encore pour ton aide
0
Réponse 9 / 21
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Refais un scan OTL et donne les rapports par pjjoint.
0
Réponse 10 / 21
Kak11* Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour,

Voici le lien:

https://pjjoint.malekal.com/files.php?id=20140608_x7f5s6n7t14

Je dois m'absenter jusqu'en début d'après-midi.
0
Réponse 11 / 21
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Tu utilises quel navigateur ?
Tu as quoi comme modele de box/routeur ?
Tu as quelle genre de pubs ?
0
Réponse 12 / 21
Kak11* Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
J'utilise google chrome. En allant sur un forum un jour, il m'a été demandé de mettre à jour java. Depuis ma page d'accueil internet est websearches, même si j'essaie de remettre google et toutes les pubs se mettent partout sur l'écran.
Concernant les pubs, il y a de tout, de simples recherches que je peux faire à des pubs de sites de rencontres en tout genre...
Ma box est une box SFR.

Merci pour ton aide
0
Réponse 13 / 21
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
reconfigure l'ouverture de pages sur Google Chrome pour virer websearches : https://www.malekal.com/reparer-google-chrome/?t=35837&start=

Vérifie aussi que le raccourci que tu utilises pour le lancer n'a pas l'adresse de websearches dans le champs cible.

Tout est expliqué dans la page plus haut.
0
Réponse 14 / 21
Kak11*
 
C'est fait!
Effectivement, lorsque j'ouvre google chrome, websearches a disparu.
Super!
Aurais-tu une config de protection pour mon ordi?
J'ai W7 et Avast comme anti-virus. Autre chose à ajouter peut-être?
Je prends tous les conseils!
Je vais surfer un peu pour voir si j'ai toujours toutes ces pubs horribles.
0
Réponse 15 / 21
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
cool :)



Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.



Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


0
Réponse 16 / 21
Kak11*
 
Je viens de finir la recherche avec l'anti-malware.
Je peux te faire passer le résultat? Je suis surprise de voir qu'il y apparaît des fichiers OTL.
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
si tu veux.
0
Réponse 17 / 21
Kak11* Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour,

Désolée, je n'avais pas vu que tu m'avais répondu!
De quelle manière puis-je t'envoyer tout ça?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
pjjoint :)
0
Réponse 18 / 21
Kak11* Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
ça n'accepte pas ce genre de fichier.
Enfin, j'essaie de t'envoyer le fichier xlm qu'il y a dans le dossier logs.
C'est ça?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
tu vas dans l'onglet rapport, puis historique des scans
tu prends le scan,
copier dans le presse papier
tu vas sur pjjoint,
tu colles en bas

tu envoies et donne le lien ici
0
Réponse 19 / 21
Kak11* Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
 
Voici le lien:

https://pjjoint.malekal.com/files.php?id=20140610_g11f13i5w6p9
0
Réponse 20 / 21
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
pas super lisible le format.

Toute façon,tu n'avais plus de problèmes et Malwarebytes à virer les restes.
Car le, c'est pour cela que je le donne en fin de procédures :)
0

Discussions similaires

Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
Win64 malware gen
jules555 -
bazfile -

1 réponse
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
tamagotchi version 1 et 2
nanalarockeuse -
Nayumi -

10 réponses