Répondre à la discussion
Affichage des résultats 1 à 7 sur 7

Infection par un malware?




  1. #1
    TBIRD

    Post Infection par un malware?

    Bonjour à vous!

    Voilà je vous soumet un problème que j'ai rencontré chez ma belle-mère qui, il faut le dire, est très peu douée en informatique .
    Lors d'une séance de surf internet, une popup s'est ouverte lui disant "VOUS ETES INFECTE" patati patata... et bien sûr chose à ne pas faire, elle a cliqué dessus!
    Résultat: Lorsqu'elle utilise IE7, des fenêtres popus s'ouvrent partout, y compris dans la recherche Google...
    J'ai pu noté qu'il y a 2 processus iexplore.exe qui tournent en continu sur son portable alors qu'IE7 est fermé. Plus fort, lorsque je ferme les processus (qui bouffent de la ram au possible), ils se rouvrent instantanément!
    Aussi après quelques scans avec Spybot, Avast, et autres Kapersky en ligne mes recherches m'ont mené à vous. J'espère que vous pourrez me venir en aide

    Je vous poste le scan de Hijack this en vous demandant de bien vouloir m'expliquer pourquoi et comment on supprime les clés malfaisantes. (Je ne suis pas débutant ni informaticien, je me classe dans la catégorie bidouilleur averti )

    Merci d'avance!

    -----

    Fichiers attachés Fichiers attachés

  2. Publicité
  3. #2
    igor51

    Re : Infection par un malware?

    Bonjour et Bienvenu Sur Futura


    tu es victime d'une infection de type "lop.com", cette infection vient avec l'installation de logiciel tel que msnplus, Bittorent et autre



    Fais ceci pour commencer.

    Crées un fichier avec le bloc note et colle ce texte dedans :
    Code:
    @ECHO OFF
    dir %Windir%\tasks /a h > files.txt
    notepad files.txt
    del /q files.txt
    exit
    - Dans le menu "Fichier":"Enregistrer sous"
    - Enregistrer dans : Bureau
    - Nom du fichier : findjob.bat
    - Type : tous les fichiers
    - cliquer sur Enregistrer
    - quitter Notepad

    Double clique sur le fichier findjob.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

    Poste le rapport généré dans ta prochaine réponse.

    Bonne journée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  4. #3
    TBIRD

    Re : Infection par un malware?

    Merci de ton aide Igor
    Voici le résultat bien qu'il me semble très peu "fourni", dis-moi s'il y a une erreur.
    Fichiers attachés Fichiers attachés


  5. #4
    igor51

    Re : Infection par un malware?

    Re,

    c'est tout à fait normal que ce rapport soit aussi peu "fourni"

    On passe à la désinfection

    -----------------------------------------------------------------------------

    Voici la procédure à faire en entier, si dedans, il y a quelque chose que tu ne comprends pas, n'hésite pas à poser des questions.
    Les rapports demandés seront recapitulés à la fin de la procédure et tous doivent être postés en pièce jointe

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

    La procédure est assez longue et elle va s'opérer en mode sans échec, tu n'auras donc pas accès à internet, il faut donc que tu conserves cette procédure sur ton ordinateur.
    Si tu utilises Internet explorer:
    • Clique sur Fichier
    • Puis sur Enregistrer sous
    • Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
    • Clique sur Enregistrer
    Si tu utilises Firefox:
    • Clique sur Fichier
    • Puis sur Enregistrer sous
    • Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
    • Clique sur Enregistrer

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~
    Télécharge AVG Anti-Spyware
    1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
    2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
    3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

    Télécharge The Hoster

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

    Télécharge OTMoveIt de OldTimer.
    Sauvegarde le sur ton Bureau.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~
    • Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
    • Cocher la case : Afficher les fichiers et dossiers cachés
    • Décocher la case : Masquer les extensions des fichiers dont le type est connu
    • Décocher la case : Masquer les fichiers protégés du système d'exploitation
    • cliquer sur "Appliquer"
    • cliquer sur le bouton "Appliquer à tous les dossiers" / OK

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

    Crées un fichier avec le bloc note et colle ce texte dedans :
    Code:
    @echo off
    cd C:\WINDOWS\Tasks
    attrib -r -s -h AEDCAFBC918F25F8.job
    del AEDCAFBC918F25F8.job
    exit
    - Dans le menu "Fichier":"Enregistrer sous"
    - Enregistrer dans : Bureau
    - Nom du fichier : remlop.bat
    - Type : tous les fichiers
    - cliquer sur Enregistrer
    - quitter Notepad

    Double clique sur le fichier remlop.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

    Lance HijackThis, choisis Do a sacn only et coche les lignes suivantes :

    R3 - URLSearchHook: (no name) - {4D25F926-B9FE-4682-BF72-8AB8210D6D75} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [BALLDEAFWAITNURB] C:\Documents and Settings\All Users\Application Data\chinboreballdeaf\Inter Drive.exe
    O4 - HKCU\..\Run: [pingfive] C:\DOCUME~1\DANIEL~1\APPLIC~1\ ANTIHI~1\Datethirdbolt.exe

    Ferme toutes les fenêtes sauf HijackThis et clique sur Fix Checked

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

    Supprime manuelle les fichiers/dossiers suivant :

    C:\Documents and Settings\DANIEL~1\Application Data\ANTIHI~1\Datethirdbolt.exe

    Vide ta corbeille

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~
    • Double-Clique sur OTMoveIt.exe pour le lancer.
    • Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):

      Code:
      C:\Documents and Settings\All Users\Application Data\chinboreballdeaf\Inter Drive.exe
      C:\Program Files\Advert
      C:\Program Files\Anti Hide
    • Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
    • Clique sur le boutton rouge Moveit!.
    • Ferme OTMoveIt
    Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

    Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~
    • Double-clique ATF-Cleaner.exe afin de lancer le programme.
      Sous l'onglet Main, choisis : Select All
      Clique sur le bouton Empty Selected
    Si tu utilises le navigateur Firefox :
    • Clique Firefox au haut et choisis : Select All
      Clique le bouton Empty Selected
      NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
    Si tu utilises le navigateur Opera :
    • Clique Opera au haut et choisis : Select All
      Clique le bouton Empty Selected
      NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
    Clique Exit, du menu prinicipal, afin de fermer le programme.
    Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

    1. Du mode Sans Échec, lance AVG Anti-Spyware,
    2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
    3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
    4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
    5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

    Utilisation de The HOster
    • Dézippe ce fichier sur ton bureau
    • Hors connexion navigateur fermé ainsi que toutes les applications en cours
    • Double clic sur hoster.exe
    • Clique sur Restore Original Hosts ensuite sur Ok

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

    Redémarre en mode normal

    ---------------------------------------------------------------------------

    Dans ta prochaine réponse, j'attends les rapports suivant en pièce jointe :

    -> AVG-AS ( sur ton Bureau)
    -> Move It ( C:\_OTMoveIt\MovedFiles )
    -> un nouveau rapport HijackThis
    -> Refais l'opération avec findjob.bat puis poste le rapport généré

    Bon Dimanche
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  6. #5
    igor51

    Re : Infection par un malware?

    Ps : le lien pour the Hoster n'est plus valide

    Télécharge RHosts de S!ri http://siri.urz.free.fr/Softs/RHosts.exe
    Double-clique sur rhosts.exe et cilque sur Retaurer.

    Ne fait pas la partie sur The hoster.


    Bonne journée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  7. A voir en vidéo sur Futura
  8. #6
    TBIRD

    Re : Infection par un malware?

    Merci encore Igor du temps que tu m'as accordé en ce dimanche pluvieux mais malheureusement je m'en dois rentrer dans mes pénates et je n'aurai pas accès au portable pendant au moins 15 jours Des que je peux de nouveau y accéder, je m'y remet et je te poste les rapports illico.

    Bon dimanche et à bientôt

    PS: En attendant elle utilisera firefox ui ne semble pas etre infecté

  9. #7
    igor51

    Re : Infection par un malware?

    OKi, pas de problème


    Bonne sémaine
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  10. Publicité

Discussions similaires

  1. infection par un spyware
    Par MARDOC dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 43
    Dernier message: 01/12/2007, 16h39
  2. infection malware wsctf.exe
    Par videc dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 14
    Dernier message: 18/06/2007, 13h57
  3. infection par un malware (spylocked)
    Par lilisa37 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 27
    Dernier message: 27/04/2007, 18h42
  4. Infection malware
    Par Samich dans le forum Internet - Réseau - Sécurité générale
    Réponses: 24
    Dernier message: 12/02/2007, 19h27
  5. infection par sinnaka
    Par yataba dans le forum Internet - Réseau - Sécurité générale
    Réponses: 31
    Dernier message: 04/05/2006, 22h53