Spyware secure infecte mon ordinateur portable

[CROCROCH]

Depuis hier, des fenêtres (ou pseudo fenêtres) du centre de sécurité Windows m'informent que mon ordinateur est infecté par des spyware et il me demande de télécharger le logiciel Spyware secure.
Je ne l'ai pas fait dans un premier temps et ai téléchargé Spybot-Search&Destroy. Cependant, Spybot n'a pas éliminé le problème.
J'ai alors téléchargé Spyware secure et mal m'en a certainement pris.
Je suis allé sur votre forum et ai fait tout ce qui est indiqué.

Les symptomes : régulièrement, lorsque j'ouvre mon navigateur des fenêtres m'invitant à télécharger Spyware secure s'ouvrent. Des fenêtres publicitaires s'ouvrent de manière intempestive. Et ma messagerie Thunderbird contient dans la corbeille des dossiers intitulés "Envoyé".


Merci de bien vouloir tenir compte de notre charte qui dit:

La courtoisie est de rigueur sur ce forum : pour une demande de renseignements bonjour et merci devraient être des automatismes.

Pour la modération,

yoda1234.
-----

[CROCROCH]

Je me suis trompé dans les pièces jointes
Voici les bonnes

[CROCROCH]

J'ai oublié d'appuyer sur uploader

[CROCROCH]

J'ai téléchargé Navilog1 de IL-MAFIOSO et exécuté le logiciel.
Voici le rapport.

[A voir en vidéo sur Futura]

[yoda1234]

J'ai téléchargé Navilog1 de IL-MAFIOSO et exécuté le logiciel.

Bonsoir,

tu aurais dû attendre les instructions de notre groupe anti-malwares avant d'utiliser ce genre d'outils.

[CROCROCH]

J'espère que cela n'a pas créé plus de problème.

[Cyrrus]

Bonsoir crocroch,

Partant dans peu de temps, je ne sais pa ssi j'aurais le temps de finir ta désinfection. Dans tout les cas, un autre prendra le relais.

J'espère que cela n'a pas créé plus de problème.

Non, mais dans certains cas cela aurait pu.

1.

Double clique sur le raccourci Navilog1 présent sur le Bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC.
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuie sur une touche comme demandé.

(si ton Pc ne redémarre pas automatiquement, fais le toi même)

Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver. ( sur ton Bureau par exemple )
Referme le blocnote. Ton bureau va réapparaitre.

Note : Si ton bureau ne réapparait pas, déroule les instructions suivantes:

1. Fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
2. Rends-toi à l'onglet "processus".
3. Clique en haut à gauche sur fichiers et choisis "exécuter"
4. Tape explorer et valide. Celà te fera apparaitre ton bureau.

Poste le rapport en pièce jointe dans ta prochaine réponse.

2. Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Poste moi les rapports de fiwnavilog (le nouveau) et avg-as.

Bonne soirée
Cyrrus

[CROCROCH]

Voici les rapports.
Pour le dernier, j'ai refais un Navilog1 car je ne savais pas ce qu'était le "fiwnavilog (le nouveau)"
J'espère avoir bien fait ?

[CROCROCH]

Bonjour,
pour vérification, si je n'ai pas de message depuis hier, cela veut-il dire que mon ordinateur est désinfecté ?
Si c'est le cas, merci à vous.

[Cyrrus]

Bonjour crocroch,

Ou en sont les symptômes ? Il reste quelques babioles à terminer :

1. Désinstalle Seekmo dans Ajout/suppression de programmes. Coche aussi cette ligne dans Hijackthis (si elle apparait) :

O4 - HKLM\..\Run: [seekmo] "c:\program files\seekmo\seekmo.exe"

Clique ensuite sur Fix Checked.

2.

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.


3.
Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip

1. Fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, choisis extrait tout ou extraire ici
2. Cela va créer un dossier clean.
3. Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
4. Double-clique sur clean. Cela va ouvrir une fenêtre noire.
5. Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.

Clean va travailler.
Un rapport va etre généré, poste ce rapport dans ta prochaine réponse.

Poste moi le rapport de Kaspersky et de Clean.

Bonne journée
Cyrrus

[CROCROCH]

Bonjour Cyrrus,
Je n'ai pas Seekmo dans Ajout/suppression de programmes.
et je n'ai pas de Seekmo à l'adresse suivante :
c:\program files\seekmo\seekmo.exe
Dois-je passer au point n°2 ?

[Cyrrus]

Dois-je passer au point n°2 ?

Oui tu peux

[CROCROCH]

Bonsoir,
Je ne suis pas allé au bout de l'analyse par Kaspersky. Bloqué ou trop long, je ne sais pas : L'analyse s'est arrêtée à 27% (Au bout de 2 heures), une heure plus tard, il en était au même point.
Pour clean au contraire cela n'a pris que 2 secondes.
Je t'envoie les 2 rapports.
Si je dois remettre ça avec Kaspersky, dites le moi ...
Merci

[CROCROCH]

Bonjour Cyrrus,
J'ai refait tous les tests. Cela a pris beauuuucoup de temps, mais cela est fini maintenant.
Voici les 2 rapports.

[Cyrrus]

Bonjour crocroch,

Ou en sont les symptômes ?

1. Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
2. Double-clique sur clean. Cela va ouvrir une fenêtre noire.
3. Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.

Clean va travailler.
Un rapport va etre généré, poste ce rapport dans ta prochaine réponse.

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Bon WE
Cyrrus

[CROCROCH]

Bonjour Cyrrus,
J'ai déjà lu tout le dossier concernant la prévention.
J'y ai lu que le problème de l'infection pouvait venir d'échanges de données en P2P. Il y a peu, j'ai téléchargé Emule et fait un téléchargement. J'ai l'impression que cela doit venir de là. Quel est ton avis ?

Comme antivirus, j'ai choisi Nod 32. Auparavant, j'avais Norton Antivirus = très lourd, très long, et qui a laissé passer pas mal de choses qui ont été découvertes par Nod 32.

D'une manière générale, je reçois beaucoup de mails non désirés de la part d'adresses inconnues.

A ton avis, sachant que j'ai, bien entendu, enlevé Emule immédiatement, ais-je intérêt à mettre une protection supplémentaire ?


D'autre part, je me sers de mon portable que je branche au bureau. Ce qui m'a infecté a t-il pu contaminer d'autres ordis du réseau ? (Pour info, le bureau est protégé par un firewall sous linux, mais le réseau a peut-être pu être infecté par mon ordi). Y a t-il moyen de m'assurer qu'aucun des autres ordinateurs du réseau n'a été touché ?

En attendant, je te fais parvenir le rapport de Clean.

Merci pour tes réponses.

[igor51]

Bonjour,

Cyrrus étant parti en vacances, je vais répondre à tes différentes questions.

J'ai l'impression que cela doit venir de là. Quel est ton avis ?

Vi c'est tout à fait possible, je te conseille de lire ses liens sur les dangers du P2P et des cracks :

• Le P2P et ses conséquences
• Le crack dans toute sa splendeur

A ton avis, sachant que j'ai, bien entendu, enlevé Emule immédiatement, ais-je intérêt à mettre une protection supplémentaire ?

La sécurité est un tout, cela ne résume pas à juste un Antivirus, dans le dossier de prévention, il est bien stipulé qu'il faut aussi un Firewall, un anti-malware.

Donc oui, il faut que tu mettes d'autre protection, en plus de antivirus.

D'autre part, je me sers de mon portable que je branche au bureau. Ce qui m'a infecté a t-il pu contaminer d'autres ordis du réseau ? (Pour info, le bureau est protégé par un firewall sous linux, mais le réseau a peut-être pu être infecté par mon ordi). Y a t-il moyen de m'assurer qu'aucun des autres ordinateurs du réseau n'a été touché ?

Ce qui t'a infecté aurait très bien pu contaminer ton réseau, néanmoins, ton infection n'est pas typique d'une propagation par réseau, donc je ne pense pas que celui est pu infecté ton réseau.
Il est facile de s'assurer que les autres ordinateurs ne sont pas contaminés, il te suffit de les lancer et de voir s'il y a des pubs intempestives (qui est ton infection), mais franchement, je ne pense pas qu'elle se soit propagée par celui-ci.

J'èspère avoir été assez clair.

Bonne journée

[CROCROCH]

Bonjour Igor51,
Je te confirme, a-priori, que mes ordinateurs du bureau ne sont pas infectés. J'ai lancé une analyse Kaspersky sur tous les postes aujourd'hui et rien n'a été détecté.

Par contre, Kaspersky a trouvé 3 virus et 25 fichiers infectés (Cf rapports envoyés à Cyrrus). Comment faire pour les supprimer ?

Merci

[igor51]

Bonsoir,

Ces sont tes mails qui sont infectés ce situant ici C:\Documents and Settings\CCR\Application Data\Thunderbird\Profiles\453u ttbe.default\Mail\Local Folders\Inbox/

Et des fichiers temporaires.

Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
• Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

• Clique sur l'icône Erreurs situé dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scanne ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.
• Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

Bonne soirée

[CROCROCH]

Je suis sur la page de Ccleaner, mais je ne vois pas l'endroit où cliquer pour télécharger.
Il me propose de télécharger à partir de Filehippo.com
Quand je choisis "Download latest version" à droite, Internet explorer n'est pas d'accord.
Si je passe outre, il me propose de télécharger un ccsetup141.exe
Est-ce OK pour toi ?

[CROCROCH]

Bonsoir,
problème résolu pour ccleaner grace à ma chère et tendre.
Je fais le reste.
Merci

[CROCROCH]

Re-Bonsoir,
Ccleaner a fait son travail. Il m'a permi de gagner quelque 3 points d'espace libre sur mon disque. Pas mal !
Par contre, j'ai l'impression qu'il reste encore des choses sur mon ordi du genre des fichiers NTUSER.dat.log, usrclass.dat.log (voir page jointe) et autres choses de ce genre que Kaspersky avait détecté comme malveillants.
Est-ce bien le cas ?
Merci de ton aide en tout cas, car je crois (j'espère !) que nous arrivons à la fin

P.S : je suis allé sur tes liens "Le P2P" et "le crack" et je trouve cela très bien fait et très instructif. Je n'ai jamais "touché au crack" et je n'ai fait qu'une seule fois du P2P avec E-mule. Si j'avais lu ces infos avant, je n'aurai pas écouté celui qui m'en a parlé !

[igor51]

Bonsoir,

les fichiers notés sont tout à fait légitime.

Réalise ceci pour plus de préudence

Télécharge ATF Cleaner par Atribune.
Double-clique ATF-Cleaner.exe afin de lancer le programme.

• Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.


Voila, je pense que c'est bon, qu'en penses-tu de ton coté?

Bonne soirée

[CROCROCH]

Bonsoir,
Si je comprends bien, mon ordi n'est plus infecté ?
Ce que je n'arrive cependant pas à comprendre, c'est le dernier rapport de Kaspersky : je ne suis pas allé au bout, mais il m'annonce que mon ordi serait infecté par au moins 2 virus ou chevaux de troie.
Je t'envoie le rapport.

N'étant pas informaticien, je ne sais pas interpréter tout cela. Mais si tu me réponds que tout va bien, alors merci encore pour votre aide à Cyrrus et à toi pour m'avoir permi de désinfecter mon ordinateur.

Bonne soirée

[igor51]

Bonjour,

ce que trouve Kaspersky est des mails infectés dans ton logiciel de messsagerie Thunderbird, qui date du 16 mars 2006, donc je te conseille de supprimer ces mails

Après avoir supprimer cela, pour moi tout sera ok.

Bonne journée

[CROCROCH]

Bonjour Igor51,

J'ai une chose à te montrer : en pièce jointe, tu verras un extrait de mon explorateur windows. Il y a un fichier de 1Go nommé envoyé que je ne peux supprimer manuellement car il serait en cours d'utilisation. Or, ce fichier n'apparait pas dans mon Thunderbird. Aurais tu une idée pour le supprimer ?

De même, je me casse un peu al tête pour trouver ces fameux messages du 16 mars 2006. Je cherche un moyen simple de les retrouver. Ce moyen existe t-il ?

D'avance merci.

[igor51]

Re,

voila le chemin exacte C:\Documents and Settings\CCR\Application Data\Thunderbird\Profiles\453u ttbe.default\Mail\Local Folders\Inbox

Pour le fichier que tu n'arrives pas à supprimer, tu peux essayer en mode sans échec, et si cela ne fonctionne pas, tu peux essayer avec ce logiciel :

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

   C:\Documents and Settings\CCR\Application Data\Thunderbird\Profiles\453uttbe.default\Mail\Local Folders\Inbox\Infos concurrence\envoyé

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Bonne journée

[CROCROCH]

Bonjour,
Le fichier de 1 Go est éliminé.
D'autres fichiers que j'avais dans ma boite mail (Et que je tentais de supprimer depuis longtemps) ont pu être éliminés. Ce fichier de 1 Go devait bloquer quelque chose.
Autrement dit, je crois que tout est revenu à la normale avec un ordinateur allégé de 2 Go de fichiers inutiles.

Merci à toute votre équipe pour votre aide.

[CROCROCH]

Bonjour,
J'ai relu ta note sur le P2P et j'ai lancé la commande netstat par curiosité.
Puis-je te demander ce que tu en penses ?
Bien cordialement

J'ai transformé ton image, qui était en PDF, en GIF, bien plus facile à consulter.

JPL, modérateur

[igor51]

Bonjour,

oui tu peux
Il n'y a rien de anormal dans ton netstat, as-tu un problème ou est-ce juste par vérification ?

Bonne journée