Infection par un malware?

[invite98ac8699]

Bonjour à vous!

Voilà je vous soumet un problème que j'ai rencontré chez ma belle-mère qui, il faut le dire, est très peu douée en informatique .
Lors d'une séance de surf internet, une popup s'est ouverte lui disant "VOUS ETES INFECTE" patati patata... et bien sûr chose à ne pas faire, elle a cliqué dessus!
Résultat: Lorsqu'elle utilise IE7, des fenêtres popus s'ouvrent partout, y compris dans la recherche Google...
J'ai pu noté qu'il y a 2 processus iexplore.exe qui tournent en continu sur son portable alors qu'IE7 est fermé. Plus fort, lorsque je ferme les processus (qui bouffent de la ram au possible), ils se rouvrent instantanément!
Aussi après quelques scans avec Spybot, Avast, et autres Kapersky en ligne mes recherches m'ont mené à vous. J'espère que vous pourrez me venir en aide

Je vous poste le scan de Hijack this en vous demandant de bien vouloir m'expliquer pourquoi et comment on supprime les clés malfaisantes. (Je ne suis pas débutant ni informaticien, je me classe dans la catégorie bidouilleur averti )

Merci d'avance!
-----

[invite9bff601c]

Bonjour et Bienvenu Sur Futura


tu es victime d'une infection de type "lop.com", cette infection vient avec l'installation de logiciel tel que msnplus, Bittorent et autre



Fais ceci pour commencer.

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

@ECHO OFF
dir %Windir%\tasks /a h > files.txt
notepad files.txt
del /q files.txt
exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : findjob.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier findjob.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

Poste le rapport généré dans ta prochaine réponse.

Bonne journée

[invite98ac8699]

Merci de ton aide Igor
Voici le résultat bien qu'il me semble très peu "fourni", dis-moi s'il y a une erreur.

[invite9bff601c]

Re,

c'est tout à fait normal que ce rapport soit aussi peu "fourni"

On passe à la désinfection

-----------------------------------------------------------------------------

Voici la procédure à faire en entier, si dedans, il y a quelque chose que tu ne comprends pas, n'hésite pas à poser des questions.
Les rapports demandés seront recapitulés à la fin de la procédure et tous doivent être postés en pièce jointe

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

La procédure est assez longue et elle va s'opérer en mode sans échec, tu n'auras donc pas accès à internet, il faut donc que tu conserves cette procédure sur ton ordinateur.
Si tu utilises Internet explorer:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
• Clique sur Enregistrer

Si tu utilises Firefox:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
• Clique sur Enregistrer

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~
Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Télécharge The Hoster

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Télécharge OTMoveIt de OldTimer.
Sauvegarde le sur ton Bureau.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

@echo off
cd C:\WINDOWS\Tasks
attrib -r -s -h AEDCAFBC918F25F8.job
del AEDCAFBC918F25F8.job
exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : remlop.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier remlop.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Lance HijackThis, choisis Do a sacn only et coche les lignes suivantes :

R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [BALLDEAFWAITNURB] C:\Documents and Settings\All Users\Application Data\chinboreballdeaf\Inter Drive.exe
O4 - HKCU\..\Run: [pingfive] C:\DOCUME~1\DANIEL~1\APPLIC~1\ ANTIHI~1\Datethirdbolt.exe

Ferme toutes les fenêtes sauf HijackThis et clique sur Fix Checked

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Supprime manuelle les fichiers/dossiers suivant :

C:\Documents and Settings\DANIEL~1\Application Data\ANTIHI~1\Datethirdbolt.exe

Vide ta corbeille

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\Documents and Settings\All Users\Application Data\chinboreballdeaf\Inter Drive.exe
  C:\Program Files\Advert
  C:\Program Files\Anti Hide

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Utilisation de The HOster

• Dézippe ce fichier sur ton bureau
• Hors connexion navigateur fermé ainsi que toutes les applications en cours
• Double clic sur hoster.exe
• Clique sur Restore Original Hosts ensuite sur Ok

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Redémarre en mode normal

---------------------------------------------------------------------------

Dans ta prochaine réponse, j'attends les rapports suivant en pièce jointe :

-> AVG-AS ( sur ton Bureau)
-> Move It ( C:\_OTMoveIt\MovedFiles )
-> un nouveau rapport HijackThis
-> Refais l'opération avec findjob.bat puis poste le rapport généré

Bon Dimanche

[A voir en vidéo sur Futura]

[invite9bff601c]

Ps : le lien pour the Hoster n'est plus valide

Télécharge RHosts de S!ri http://siri.urz.free.fr/Softs/RHosts.exe
Double-clique sur rhosts.exe et cilque sur Retaurer.

Ne fait pas la partie sur The hoster.


Bonne journée

[invite98ac8699]

Merci encore Igor du temps que tu m'as accordé en ce dimanche pluvieux mais malheureusement je m'en dois rentrer dans mes pénates et je n'aurai pas accès au portable pendant au moins 15 jours Des que je peux de nouveau y accéder, je m'y remet et je te poste les rapports illico.

Bon dimanche et à bientôt

PS: En attendant elle utilisera firefox ui ne semble pas etre infecté

[invite9bff601c]

OKi, pas de problème


Bonne sémaine