Infection probable, merci de votre aide...

[invitea5cad2e4]

Bonjour,

En vacances chez mes parents, je découvre leur ordinateur sans doute infesté : fenêtres et/ou onglets Firefox s'ouvrant intempestivement avec toujours la même pub (url : ww3.lagunabeachmtv.com), flash player qui plante, Open Office qui s'ouvre au démarrage, etc.

J'ai supprimé les fichiers temporaires et corrigé les erreurs du registre avec CCleaner, actualisé l'antivirus, corrigé quelques erreurs trouvées par Spybot... sans résultats concluants.

Je m'en remets à votre expertise... Merci d'avance !!

[chantal11]

Bonjour,

Nous allons regarder ton souci ensemble.

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

AOL Toolbar (inutile)
McAfee Security Scan Plus (inutile, tu as Avast)
PC Speed Maximizer (outil d'optimisation sponsorisé et dangereux pour ton système)
Spybot - Search & Destroy (obsolète, utilise une technologie dépassée)
Viewpoint Media Player (adware)
Bywifi (adware)

Si un programme ne veut pas se désinstaller, tu passes au suivant.

---------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste ce rapport dans ta prochaine réponse

Tutoriel d'utilisation Mawarebytes en images

----------------------------------------------------------------------------------------------

Sont attendus les rapports :

• AdwCleaner(S).txt
• mbam-log[date-heure].txt

@+

[invitea5cad2e4]

Merci beaucoup pour ton intervention rapide Chantal !

Ci-joint les deux rapports demandés.

A noter que depuis la désinstallation des programmes puis l'action de AdwCleaner, il n'y a plus eu de fenêtres intempestives sous Firefox...

[chantal11]

Re,

A noter que depuis la désinstallation des programmes puis l'action de AdwCleaner, il n'y a plus eu de fenêtres intempestives sous Firefox...

C'est une bonne nouvelle

Nous allons maintenant contrôler le système avec cet outil pour supprimer les résidus.

----------------------------------------------------------------------------------------------

OTL :

• Télécharge OTL de OldTimer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Coche la case Tous les utilisateurs
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  msconfig
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  services.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\Tasks\*.* /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  hklm\software\clients\startmenuinternet|command /rs
  hklm\software\clients\startmenuinternet|command /64 /rs
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
  
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent. Poste ces rapports en PJ.
  Les rapports sont sauvegardés sur le Bureau.

----------------------------------------------------------------------------------------------

Sont attendus les rapports OTL.txt et Extras.txt

@+

[A voir en vidéo sur Futura]

[invitea5cad2e4]

Voici les logs demandés

Merci encore et à demain pour la suite ?

[chantal11]

Bonjour,

Une petite précision : c'est bien tes parents qui ont paramétré un proxy sous Internet Explorer et Firefox ?

On continue :

----------------------------------------------------------------------------------------------

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL) (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  :OTL
  IE - HKU\S-1-5-21-3345260433-48570298-2257553868-1000\..\SearchScopes\{1984236F-761A-40AF-AE54-B0DB56674F3E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=2301F8A1-9E0B-4E12-861F-860533FF2759&apn_sauid=3574B083-DD04-4E3A-A621-CF4B3376A9A0
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
  O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
  O3 - HKU\S-1-5-21-3345260433-48570298-2257553868-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
  O33 - MountPoints2\{0ab85aed-4782-11de-bf64-001eecb5c336}\Shell - "" = AutoRun
  O33 - MountPoints2\{0ab85aed-4782-11de-bf64-001eecb5c336}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
  O33 - MountPoints2\{1a3df0f6-74f2-11de-9ad5-001eecb5c336}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe
  O33 - MountPoints2\{1a3df0f9-74f2-11de-9ad5-001eecb5c336}\Shell - "" = AutoRun
  O33 - MountPoints2\{1a3df0f9-74f2-11de-9ad5-001eecb5c336}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
  O33 - MountPoints2\{27bcf073-3f4b-11e1-a94d-001eecb5c336}\Shell\AutoRun\command - "" = driver\usb\runme.exe
  O33 - MountPoints2\{27bcf073-3f4b-11e1-a94d-001eecb5c336}\Shell\open\command - "" = driver\usb\runme.exe
  O33 - MountPoints2\{704b3dd7-ad74-11e1-9b5c-001eecb5c336}\Shell\AutoRun\command - "" = s1.exe
  O33 - MountPoints2\{704b3dd7-ad74-11e1-9b5c-001eecb5c336}\Shell\open\Command - "" = s1.exe
  MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk -  - File not found
  MsConfig - StartUpReg: EA Core - hkey= - key= -  File not found
  MsConfig - StartUpReg: SPMTray - hkey= - key= -  File not found
  2 C:\*.tmp files -> C:\*.tmp -> ]
  [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
  
  :files
  ipconfig /flushdns /c
  
  :Commands
  [EMPTYTEMP]
  [CREATERESTOREPOINT]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
  
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

USBFix - Recherche :

• Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
  Autre lien de téléchargement USBFix
• /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
• Double-clique sur UsbFix sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur l'option Recherche et laisse l'outil analyser ton système
• La recherche se lance
• Le rapport UsbFix.txt s'affiche. Poste le contenu du rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\UsbFix.txt
  
  Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• C:\_OTL\MovedFiles\********_** ****.log
• UsbFix.txt

@+

[invitea5cad2e4]

Bonjour,
Je ne sais pas qui a paramétré un proxy... cet ordinateur voit passer beaucoup trop de monde et mon père n'en sait rien non plus (sigh)
J'ai lancé OTL et copié le script, au bout de 5 min l'application "ne répond pas", et ça fait un quart d'heure... que faire ?

[chantal11]

Re,

Si tu as la main sur le système, referme OTL et redémarre Mode sans échec avec prise en charge du réseau pour appliquer le correctif OTL.

Mais au vu des derniers éléments, nous allons modifier le script de correction, pour traiter aussi le proxy, je te remets donc ci-dessous le nouveau script OTL à copier-coller dans le cadre Personnalisation :

Code:

:OTL
IE - HKU\S-1-5-21-3345260433-48570298-2257553868-1000\..\SearchScopes\{1984236F-761A-40AF-AE54-B0DB56674F3E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=2301F8A1-9E0B-4E12-861F-860533FF2759&apn_sauid=3574B083-DD04-4E3A-A621-CF4B3376A9A0
IE - HKU\S-1-5-21-3345260433-48570298-2257553868-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = http://localhost:9000/proxy.pac
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..network.proxy.autoconfig_url: "http://localhost:9000/proxy.pac"
FF - prefs.js..network.proxy.type: 2
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-3345260433-48570298-2257553868-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O33 - MountPoints2\{0ab85aed-4782-11de-bf64-001eecb5c336}\Shell - "" = AutoRun
O33 - MountPoints2\{0ab85aed-4782-11de-bf64-001eecb5c336}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{1a3df0f6-74f2-11de-9ad5-001eecb5c336}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe
O33 - MountPoints2\{1a3df0f9-74f2-11de-9ad5-001eecb5c336}\Shell - "" = AutoRun
O33 - MountPoints2\{1a3df0f9-74f2-11de-9ad5-001eecb5c336}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{27bcf073-3f4b-11e1-a94d-001eecb5c336}\Shell\AutoRun\command - "" = driver\usb\runme.exe
O33 - MountPoints2\{27bcf073-3f4b-11e1-a94d-001eecb5c336}\Shell\open\command - "" = driver\usb\runme.exe
O33 - MountPoints2\{704b3dd7-ad74-11e1-9b5c-001eecb5c336}\Shell\AutoRun\command - "" = s1.exe
O33 - MountPoints2\{704b3dd7-ad74-11e1-9b5c-001eecb5c336}\Shell\open\Command - "" = s1.exe
MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk -  - File not found
MsConfig - StartUpReg: EA Core - hkey= - key= -  File not found
MsConfig - StartUpReg: SPMTray - hkey= - key= -  File not found
2 C:\*.tmp files -> C:\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

:files
ipconfig /flushdns /c

:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]

Ensuite tu redémarres en mode normal et tu enchaînes sur l'analyse avec USBFix.

@+

[invitea5cad2e4]

Je n'ai pas pu redémarrer sans échec, la seule possibilité était de restaurer le système, résultat j'ai du repartir du début... mais impossible désormais de supprimer Spybot, le fichier de désinstallation est manquant...
Je vais essayer le mode sans échec maintenant.

[invitea5cad2e4]

Même chose en mode sans échec : OTL se bloque et puis plus rien...

[invitea5cad2e4]

(désolée, ça partait bien pourtant... et merci de ta patience...)
(faut-il que je reposte des logs (ceux attendus exceptés puisque OTL se bloque...)
(j'avoue que là je suis un peu perdue...)

[chantal11]

Re,

On va faire le contraire alors.

Lance USBFix en 1er, en suivant les consignes indiquées pour la procédure et poste le rapport de recherche.

@+