Fenêtres intempestives, PC lent.

[AlainF]

Bonsoir,
Ca doit être le printemps chez les Malwares, ça prolifère à tout va et mon PC en est tout infecté et infesté.
J'ai dû attraper cela par MSN : le PC est lent, j'ai des pub. intempestives qui apparaîssent : poker, Cid..., porno, Alice...
Je vous joins les deux fichiers habituels.
Merci pour votre réponse.
AlainF
-----

[Cyrrus]

Bonsoir,

Je vous joins les deux fichiers habituels.

Nous ne sommes pas là pour réparer les conséquences de ton comportement imprudent, voire je m'en foutiste....
Si tu avais suivis nos conseils de prévention tu ne serais pas là à nouveau.

~~~~~~~~~~~~

Désactive tes protections résidentes ( Antivirus , ... ) tu les réactivera après le scan

Télécharge Lop S&D < ici

Double-clique dessus pour lancer l'installation
Puis double-clique sur le raccourci Lop S&D présent sur ton bureau
Séléctionne la langue souhaitée , puis choisis l'Option 1 ( Recherche )
Patiente jusqu'à la fin du scan
Poste le rapport généré ( C:\lopR.txt )

( Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide )

Cyrrus

[AlainF]

Cyrrus, je pense avoir suivi vos conseils de prévention du mieux que je puisse. Seulement voilà, je ne suis pas le seul à utiliser ce PC, même si je dois en assumer les conséquences. Comme c'est le cas en ce moment.
J'utilise peu souvent ce PC, je n'ai jamais utilisé MSN, j'en suis incapable. Je sais seulement qu'un membre de ma famille a utilisé MSN la semaine dernière, à la suite de quoi les symptômes d'il y a trois mois ont réapparu.
Quant au je m'en foutisme...
Dans ta réponse, tu as cité le terme habituels que j'ai utilisé : peut-être l'as-tu mal compris ? : je l'ai employé dans le sens 'normalement demandé en pareil cas'.
Je te laisse juge de la situation, prends la décision qui bonne te semblera.
Je te joins le rapport demandé.
Merci
AlainF

[Cyrrus]

Bonjour,

edit....je reviens

[A voir en vidéo sur Futura]

[Cyrrus]

Re-bonjour,

1. Télécharger OTMoveIt2 par OldTimer.

• Enregistrer ce fichier sur le Bureau.
• Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
• Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  
  
  Code:

  C:\DOCUME~1\ALLUSE~1\APPLIC~1\Camp Mess Warn Pop
  C:\DOCUME~1\ALLUSE~1\APPLIC~1\ref site title beep
  C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinAntiVirus Pro 2006
  C:\DOCUME~1\ANNE-S~1\APPLIC~1\MessengerSkinner
  C:\DOCUME~1\ANNE-S~1\APPLIC~1\WinAntiVirus Pro 2006
  C:\WINDOWS\tasks\A279714590B2E955.job
  C:\Program Files\WinAntiVirus Pro 2006
  C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006
  C:\DOCUME~1\ALLUSE~1\APPLIC~1\Camp Mess Warn Pop
  C:\Program Files\Adverts
  C:\Program Files\Circle Developement

• Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.
  
• Cliquer sur le bouton rouge Moveit!.
• Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.
• Fermer OTMoveIt2

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

2. Lance Hijackthis, clique sur Do a system scan only et coche la ligne suivante :

Code:

O4 - HKLM\..\Run: [WARN POP TRUST LIES] C:\Documents and Settings\All Users\Application Data\Camp Mess Warn Pop\atom clock.exe

Clique sur Fix Checked.


3. Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).


Poste les rapport d'otmoveit, mbam ainsi qu'un nouveau rapport hijackthis.

Au vu des fichiers/dossiers présent je dirais que :

- toi ou un/plusieurs des utilisateurs de ce pc sont beaucoup trop imprudent, ce que on appelle parfois le syndrome du "Clickpartout". Les infections sont donc installés par un/plusieurs des utilisateurs de ce pc.
- Si le comportement était plus prudent, tu n'aurais pas eu ce genre de problème.
- pour le coup tu n'as rien de très méchant (je n'en suis pas sur pour autant), mais le jour où tu installeras un spammer...ou un keylogger...ou un banker, tu te mordras les doigts.

Sans étaler ma vie, il y a 4 ans de cela je ne savais pas faire la différence entre un antivirus et un firewall. C'était quand même à moi qu'incombait la tâche de sécuriser l'unique pc famillial. Evidemment il a été infecté (et c'était plus méchant que ce que tu as), mais à l'époque les forums comme FS ou autre n'existait quasiment pas, encore moins les outils que j'utilise aujourd'hui.

Tout cela pour te dire qu'il n'est vraiment pas compliqué de progresser en informatique "courant", et d'acquérir des bases correctes en sécu (je ne te demande pas de faire comme moi...simplement de faire le 1/10). Il suffit de vraiment le vouloir.

Bonne journée
Cyrrus

[AlainF]

Bonsoir,
J'ai exécuté la procédure. Voici les fichiers :
**** OT MOVEIT2*****
C:\DOCUME~1\ALLUSE~1\APPLIC~1\ Camp Mess Warn Pop moved successfully.
C:\DOCUME~1\ALLUSE~1\APPLIC~1\ ref site title beep moved successfully.
C:\DOCUME~1\ALLUSE~1\APPLIC~1\ WinAntiVirus Pro 2006 moved successfully.
C:\DOCUME~1\ANNE-S~1\APPLIC~1\MessengerSkinner\ Userdata moved successfully.
C:\DOCUME~1\ANNE-S~1\APPLIC~1\MessengerSkinner moved successfully.
C:\DOCUME~1\ANNE-S~1\APPLIC~1\WinAntiVirus Pro 2006\Logs moved successfully.
C:\DOCUME~1\ANNE-S~1\APPLIC~1\WinAntiVirus Pro 2006 moved successfully.
C:\WINDOWS\tasks\A279714590B2E 955.job moved successfully.
C:\Program Files\WinAntiVirus Pro 2006 moved successfully.
C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006 moved successfully.
File/Folder C:\DOCUME~1\ALLUSE~1\APPLIC~1\ Camp Mess Warn Pop not found.
C:\Program Files\Adverts moved successfully.
C:\Program Files\Circle Developement moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.0 log created on 04042008_191050
******
Merci
Bonne soirée
AlainF

[Cyrrus]

Bonjour,

Où en sont les symptômes ?


Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne journée
Cyrrus

[AlainF]

Bonsoir,
Pour les symptômes : les pub. ont disparu, mais mon PC reste par moment plus lent que d'habitude.
Pour répondre à ce que tu avais écrit en fin de Post #6, j'avais appliqué après ma première infection les recommandations "dossier prévention" du mieux que je pouvais, sauf que je continue à utiliser IE comme navigateur avec toutefois les paramètres préconisés.
De la même façon, mes contrôles ActiveX sont à jour, selon les spécifs "Cybersécurité".
Ce que je trouve curieux, c'est que mon Antivirus "McAfee" est quelque fois désactivé tout seul ; ou par des attaques virales ou je ne sais quoi : est-ce bien normal que le paramètrage d'un antivirus bouge tout seul ? qu'en penses-tu ? là aussi, je l'ai paramètré "serré", mais je me demande si c'est suffisant.

Je n'ai pas réussi à obtenir le rapport Kaspersky, même après 3 essais. Mais j'ai peut-être fait une fausse manip ? Je t'envoie une copie d'écran où tu verras 'report is empty', ainsi que 2 virus et 4 objets infectés.
Si je me rappelle bien :
- 1er virus + 3 objets infectés détectés sur C:.... restore...
- 2e virus + 1 objet infecté sur D:I386...
Merci
Bonne soirée
AlainF

[AlainF]

bonsoir,
J'ai exécuté lescan Kaspersky une fois de plus, j'avais certainement mal paramètré l'installation de l'Active X.
Je n'arrive pas à uploader le rapport qui doit être trop volumineux : 10 606 Ko : comment faire ?
Merci
AlainF

[AlainF]

Bonsoir,
Ca y est , je vais enfin y arriver: je vous envoie le fichier compressé.
Merci.
AlainF

[Cyrrus]

Bonsoir,

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Clique sur « Appliquer »
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

As tu encore des symptômes ?

Bonne soirée
Cyrrus

[AlainF]

Bonjour,
J'ai effectué l'opération, C'est un peu tôt pour me prononcer sur la lenteur du PC. Je te tiens au courant dès que possible.
Peux-tu m'expliquer exactement ce que j'ai fait là ? quel rapport entre une infection et le système de restauration ?
Merci
Bonne journée.
AlainF

[Cyrrus]

Bonjour,

Quel rapport entre une infection et le système de restauration ?

Les fichiers infectieux peuvent se retrouver dans la restauration système (c'était ton cas), dans ce cas (seulement), on fait purger la restauration système. Ainsi tu repars avec des points de restauration propre (sinon, lorsque tu restaurais...tu restaurais aussi les fichiers infectieux).

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Bonne journée
Cyrrus

[AlainF]

Bonsoir,
Cela veut-il dire que ma dernière infection est venue de l'intérieur ? ou bien s'agit-il d'une attaque externe (que je n'ai pas vu venir en ce qui me concerne) ?
Nouvelle du PC : il semble être plus rapide qu'avant, mais ce n'est pas systématique. Je te répondrai définitivement après une plus grande période d'essai.
Merci pour ta réponse.
Bonne soirée.
AlainF

[Cyrrus]

Bonsoir,

Cela veut-il dire que ma dernière infection est venue de l'intérieur ?

Vu l'infection, il y a de grande chance (je pense notamment à "MsnPlus!")

Cyrrus

[AlainF]

Bonjour,
Cet indice m'est précieux pour démasquer "la" coupable parmi les utilisatrices (teurs) du PC familial...
Comment ça a pu passer malgré le pare-feu ? un "cliqàtouva" sur un ficher joint ? sur une photo ? ou autre chose ?
Merci pour tes explications.
AlainF

[AlainF]

Bonjour,
Je n'ai plus de publicité intempestive (paramètrage serré du navigateur) ni de lenteur du PC : on va dire que les symptômes ont disparu.
Encore merci pour votre aide.
Une autre question si vous le voulez bien : occasionnellement, depuis quelques mois maintenant, mon antivirus McAfee se désactive 'tout seul'. Je dois re-configurer certains paramètres à chaque fois pour être protégé correctement : quel est votre avis sur ce sujet svp ?
Merci
AlainF

[AlainF]

Bonsoir,
J'ai relu le dossier de prévention afin de faire le point sur mon PC :
- acheté fin 2003 (je n'ai pas fait l'installation), sans internet, pas d'antivirus, à l'époque je ne l'utilisais pas,
- j'ai internet depuis fin 2006, antivirus 6 mois après (McAfee), les premières infections que j'ai vues datent de cette époque (quand j'ai commencé à l'utiliser).
- en mode normal il y avait 4 sessions, toutes "administrateurs", la session invité étant désactivée. Depuis, J'ai laissé une session administrateur avec mot de passe connu de moi-seul, les 3 autres -dont la mienne- sont en mode limité.
En allant dans les autres sessions que la mienne -qui seule a été désinfectée à ce jour-, voici ce que j'ai remarqué :
- session 1 : lenteur au démarrage, pas de pub, DESACTIVATION DE L'ANTIVIRUS AU DEMARRAGE, je dois le réactiver à la main.
Dans le gestionnaire de tâche : ati2evxx.exe démarré en double, svchost.exe démarré 7 fois ?! --> est-ce normal ?
- session 2 : la pire de toutes avec lenteur, publicités, et en plus : iexplore.exe démarré 7 fois sans apparaître dans la barre des tâches, et un programme : "meet bleh jump.exe" qui sature l'UC à 100% (?!), que je supprime plusieurs fois, mais qui revient chaque fois ?!
- ma session : idem session 1 maintenant, tout se passe comme si j'avais été contaminé par une autre session : est-ce possible ?

J'ai passé quelques antivirus qui ne voient rien : McAfee bien sûr, AVGAS, MBAM, Kaspersky, MSNFIX.

En fait, faudrait-il désinfecter session par session ? avec le paramétrage McAfee que j'utilise, j'ai le sentiment que plus rien ne vient de l'extérieur (certaines photos de l'écran d'accueil de FSG ne s'affichent pas, j'ai dû bloquer des scripts en trop, mais peu importe...), mais que je me suis auto-infecté à chaque fois depuis les autres sessions (ou que ma session l'a été par d'autres utilisateurs) : quel est votre avis svp ?
Merci
AlainF

[AlainF]

Bonjour,
Une information qui vous sera peut-être utile :
- j'ai téléchargé ce matin la dernière version de MBAM, je l'ai ensuite exécutée en mode sans échec, elle vient de se planter avec les messages suivants :
Run-time error '9'
Subscript out of range
pendant l'exécution de Performing extra and heuristics scan
( 1h42 d'exécution, 0 infection détectée, 135680 objets analysés)
Bon courage...
AlainF