Fenetre intempestive

c est un autre truc.pense a sauvegarder avant de supprimer.

Bonjour, j'ai attrapé un rootkit, dès l'ouverture de mon IE6 j'avais des dizaines de fenêtres de pubs, idem avec MSN Explorer. Pas une seule pub sous FireFox !
Après avoir chercher pendant un bout de temps, j'ai téléchargé BlackLight de F-Secure (gratuit) il m'a trouvé un rootkit, que j'ai supprimé, rapide et efficace. Après avoir supprimer l'intrus, je n'avais plus que quelques fenêtres de pub de temps en temps, j'ai fais une recherche avec le nom du rootkit ici c'est *daancbqhea* j'ai trouvé deux fichiers, je les ai supprimé, depuis plus aucune pub.

Télécharger BlackLight avec le tutorial Ici : https://www.malekal.com/tutorial-f-secure-blacklight/

Bien suivre le tuto qui se trouve sur la page de téléchargement.

Bon courage et bonne journée.

John

Chose importante, une fois le rootkit supprimé, désactive la restauration du système >> redémarre ton ordi >> réactiver la restauration du système >> et créer un nouveau point de restauration.
Faire Exécuter >> tape msconfig, onglet démarrage, regarde si le rookit est dans tes programmes qui ce lancent au démarrage, décoche la case si il est présent.
Pareil dans ton pare feu, bloque le.

Pour info :

Voici une situation que j'ai vécu il y a quelques temps, mon PC était envahi par la pub.

Infecté par un Rootkit


Voici un mois que mon ordinateur est infecté par des écrans de pub, et je ne suis pas le seul ! La cause de cette infection ? J’ai cliqué sur un lien donné par un membre sur un forum. Ce lien proposait le téléchargement de « Messenger Skiner ». J’ai téléchargé ce logiciel pour le tester, mal m’en a prit ! Moi et ceux qui avaient cliqué sur ce lien !

Les écrans de pub me proposaient d'installer un logiciel anti-virus, comme Win Anti-Virus Pro, Drive cleaner, Win anti Spyware, page d’accueil de e-Bay (d’après moi ce site, c’est la poubelle du net), la liste est longue ....... Ces logiciels ne sont en fait que des virus, et ne protègent pas votre ordinateur ; au contraire il l’infecte !

Pour supprimer ces soi-disant logiciels de sécurité, vous aller passer du temps, car la procédure n'est pas simple pour des débutant(e) s en informatique. Cependant sur Espace-Soluce nous vous donnons des solutions efficaces pour vous en débarrasser.

Ces pubs apparaissaient uniquement sur Internet Explorer 6, et sur MSN Explorer.
Avec FireFox de Mozilla je n'ai aucune pub, ce qui démontre bien l'efficacité de FireFox en matière de sécurité. Je vous le conseille, si vous cherchez un site avec un moteur de recherches comme Google. Sans FireFox, j’aurais dû reformater.

Particularité du rootkit : il est indécelable, par les principaux logiciels de sécurité ! Partons à sa recherche :

A l’apparition des fenêtres de pub, j’ai téléchargé l’anti pub de Scatlaws ici :
http://www.scatlaws.com/antipub-antipub.html
Je savais que c’était une solution momentanée et que le problème venait d’une infection de mon PC par ? X

Je change mon anti-virus Avast et le remplace par Kaperski ; pareil pour le pare-feu, je supprime Kério et le remplace par Zone Alarme. Rien ne change j’ai toujours la pub.
A noter que Kaperski est un excellent anti-virus, cependant après 2 h 30 d’analyse (environ 400 000 fichiers) il ne trouve rien (ce qui veut dire pour moi que Avast est un très bon anti- virus gratuit, Kaperski est un shareware (payant).
J’en conclus aussi que Kério et un très bon pare-feu (gratuit).

Je lance alors tous les scan en ligne, comme celui de Sécuser.com, Inoculer, DRWEB, rien tout est clean !

Je télécharge Spy Sweeper, il me trouve deux cookies ; je ne les supprime même pas. Je lance plutôt a2Free qui lui m’en trouve 28, je les supprime et par la même occasion je vire Spy Sweeper.

Je mets tous mes logiciels d’analyse à jour, Bitdéfender, Ad-Ware, SpyBot, et je redémarre le PC en mode sans échec. Je scanne avec toute la panoplie, je supprime tous les objets trouvés, et redémarre en mode normal. J’ouvre IE6 et patatras…. les pubs sont toujours là !!!

Il faut donc chercher la cause de la pub, mais je n’ai aucune idée de la chose à rechercher.

Par intuition, j’ouvre Zone Alarme, je vois qu’un programme, que je ne connais pas, s’est installé. Son nom ? *daancbqhea* ; Je le bloque immédiatement, je vais sur Google et tape le nom, rien aucun résultat !

Je vais dans Exécuter, je tape msconfig, je clique sur l’onglet Démarrage, *daancbqhea* est présent et actif, je décoche la case. J’ouvre IE6 et la pub arrive.

Je me connecte sur Sécuser et regarde les différentes menaces. Je vois rootkit, je tape le nom sur Google (j’avais déjà entendu le nom de ce type d’infection, mais je ne m’y étais pas intéressé, parce que trop rare).

Je vois : « problème de pub, etc » ce qui correspond à mes ennuis. Je visite plusieurs sites qui parlent de cette infection. Ceux-ci vous proposent de télécharger des tas de logiciels ; le résultat des scans est publié, mais le problème n’est pas résolu. Dans plusieurs cas, la solution préconisée est radicale : faire un Format C:

Je suis - comme vous l’avez remarqué - quelqu’un de têtu ; en plus, je m’énerve vite ! Je me dis que je ne reformaterai jamais mon PC à cause d’une connerie comme celle là !!!
En plus de 8 ans je n’ai reformaté qu’un PC pour cause d’infection par un virus, le virus avait détruit le secteur zéro du DD, là rien à faire : il fallait formater.

Revenons à notre *daancbqhea*. Sur FireFox, je tape dans la barre Google *supprimé rootkit*. Je vois que trois logiciels existent afin de supprimer les rootkits. Je n’hésite pas et plonge sur BlackLigth de F-Sécure, qui propose, entre-autres, un anti-virus super performant. Je le télécharge à cette adresse https://www.malekal.com/tutorial-f-secure-blacklight/ avec le tutorial.
N’oubliez jamais qu’il faut prendre le temps d’étudier un tutorial et de suivre la procédure pas à pas.

Je lance le scan avec BlackLight.
Voici un copier/coller du rapport :
-----------------------------------------------------------------------------------------------------------------
02/11/07 11:04:03 [Info]: BlackLight Engine 1.0.55 initialized
02/11/07 11:04:03 [Info]: OS: 5.1 build 2600 (Service Pack 1)
02/11/07 11:04:04 [Note]: 7019 4
02/11/07 11:04:04 [Note]: 7005 0
02/11/07 11:04:08 [Note]: 7006 0
02/11/07 11:04:08 [Note]: 7011 1620
02/11/07 11:04:08 [Note]: 7026 0
02/11/07 11:04:09 [Note]: 7026 0
02/11/07 11:04:09 [Note]: 7024 3
02/11/07 11:04:09 [Info]: Hidden process: C:windowssystem32daancbqhea.exe
02/11/07 11:04:09 [Note]: 7015 160
02/11/07 11:04:09 [Note]: 7015 5
02/11/07 11:04:09 [Note]: 7015 872
02/11/07 11:04:09 [Note]: 7015 5
02/11/07 11:04:28 [Note]: FSRAW library version 1.7.1021
02/11/07 11:08:55 [Info]: Hidden file: c:WINDOWSsystem32daancbqhea.dat
02/11/07 11:08:55 [Note]: 10002 1
02/11/07 11:08:56 [Info]: Hidden file: C:windowssystem32daancbqhea.exe
02/11/07 11:08:56 [Note]: 10002 1
02/11/07 11:08:57 [Info]: Hidden file: c:WINDOWSsystem32daancbqhea_nav.dat
02/11/07 11:08:57 [Note]: 10002 1
02/11/07 11:08:57 [Info]: Hidden file: c:WINDOWSsystem32daancbqhea_navps.dat
02/11/07 11:08:57 [Note]: 10002 1
02/11/07 11:14:18 [Note]: 7007 0
-----------------------------------------------------------------------------------------------------------------

Ouf, la bête est identifiée ! Je renomme les fichiers daancbqhea à l’aide de BlackLight. Je fais ensuite rechercher  Tous les dossiers et les fichiers  daancbqhea. Au bout de 10 secondes, ils sont là tous les quatre à droite, et je supprime le tout. La fonction « Rechercher » est bloquée mais l’essentiel est d’avoir supprimé le rootkit.

Nouveau scan BlackLight.

Rapport BlackLight : le rootkit est supprimé :

02/13/07 11:33:51 [Info]: BlackLight Engine 1.0.55 initialized
02/13/07 11:33:51 [Info]: OS: 5.1 build 2600 (Service Pack 1)
02/13/07 11:33:51 [Note]: 7019 4
02/13/07 11:33:51 [Note]: 7005 0
02/13/07 11:33:54 [Note]: 7006 0
02/13/07 11:33:54 [Note]: 7011 1652
02/13/07 11:33:54 [Note]: 7026 0
02/13/07 11:33:54 [Note]: 7026 0
02/13/07 11:33:54 [Note]: 7015 220
02/13/07 11:33:54 [Note]: 7015 5
02/13/07 11:33:54 [Note]: 7015 912
02/13/07 11:33:54 [Note]: 7015 5
02/13/07 11:34:04 [Note]: FSRAW library version 1.7.1021
02/13/07 11:39:55 [Note]: 7007 0

[img]https://imageshack.com/[/img]

J’ouvre IE6, une pub, c’est tout ; sur 1 h 30, 4 pubs ; il est tard, je laisse tomber.

Le lendemain j’ouvre IE6, paf ! Les pubs sont de retour ! Moins nombreuses mais ce n’est pas normal !

Je fais ‘’Rechercher’’ à nouveau, je tape *daancbqhea*, je constate que la fonction « Rechercher » est débloquée, et cette recherche me trouve deux fichiers, CollectedData_3285.xml et CollectedData_3034.xml. Je les supprime.

[img]https://imageshack.com/[/img]

J’ouvre IE6, pas une seule pub, j’ouvre MSN Explorer, pas de pub non plus, ouf !

Au bout de trois jours d’essais, plus aucune pub sur IE6 & MSN, mon PC fonctionne bien, il est plus rapide, bref, la partie est gagnée !

J'espère que ce sujet ainsi développé en aidera plus d'un.

Bonne journée à tous.

John