Infecté, aussi, par "Your privacy is in danger"

[inviteb125e3ff]

Après avoir laissé mon ordinateur connecté toute un après-midi, je l'ai retrouvé affublé d'un nouveau fond d'écran, rouge, avec un symbole bizarre et le désormais fameux "Your privacy is in danger". Norton ne détecte rien. De plus, et c'est là le plus agaçant, toutes les trente secondes, un pop-up apparait pour vanter les mérites de tel ou tel antivirus.

J'ai donc suivi les instructions "premiers gestes pour désinfecter sa machine. En voilà les rapports. Merci d'avance !
-----

[invite275db609]

Bonjour Gascemont et bienvenue sur Futura-Sciences Generation

Tu es effectivement infecté, je vais t'aider à arranger ce problème, nous allons debord faire une premiere étape pour déterminer les fichiers à éliminer :

• Télécharge SmitfraudFix de S!Ri.
• Double-clique sur SmitfraudFix.exe.
• Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée"; un texte va apparaitre, qui liste les fichiers infectés si présent.
• Poste le rapport dans ta prochaine réponse, en pièce jointe.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm

Poste moi le rapport de SmitFraudFix option1.

Bonne journée

[inviteb125e3ff]

Merci beaucoup. Voici le premier rapport.

[invite275db609]

Bonjour

Super, bon travail, on enchaine :

Redémarre l'ordinateur en mode sans échec.

• Double cliquer sur smitfraudfix.exe
• Sélectionne 2 pour supprimer les fichiers responsables de l'infection.
• A la question Voulez-vous nettoyer le registre ? répond O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
• Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répond O (oui) pour remplacer le fichier corrompu.
• Redémarre en mode normal et poster le rapport sur le forum, en pièce jointe.

N.B. : Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm

============================

Poste moi également un nouveau rapport hijackthis en compagnie de celui de SmitFraudFix option2.

Où en sont tes dysfonctionnements ?

Bonne journée

[A voir en vidéo sur Futura]

[inviteb125e3ff]

Désolé pour mon silence, j'ai laissé mon malware s'ennuyer en France alors que je me baladais en Grande-Bretagne.

J'ai fais ce que tu m'as demandé, et déjà, plus de pop-up et le fond d'écran a disparu. Pour cela déjà, un grand merci !

Voilà donc mes deux rapports :

[invite275db609]

Bonjour

Pas de soucis, j'etais absent hier moi aussi, et rentré trop tart pour prendre le temps de rédiger des procédures.

Je pense que tu n'avais que cette infection, une derniere vérification et on pourra finaliser la désinfection dans mon prochain post (normalement).

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Bon dimanche

[inviteb125e3ff]

Merci ! Voici le rapport de kapersky :

[invite275db609]

Super

Allez, on termine la désinfection :

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre ton poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

==============================

Cherche et supprime les fichiers/dossiers suivants (en gras), si présents :
C:\Documents and Settings\#####\Application Data\Sun\Java\Deployment\cache \6.0\41\529ea6e9-4e1209a7

==============================

Recachons nos fichiers et dossiers cachés (pour etre sur de ne pas faire une mauvaise manip ...)

• Ouvre ton poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Désctive la case : "Afficher les fichiers et dossiers cachés"
• Active la case : "Masquer les extensions des fichiers dont le type est connu"
• Active la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

==============================

Vide la quarantaine de Norton.

==============================

• Clique sur Démarrer > Panneau de configuration double-clique sur Ajout/Suppression de programmes et supprime toutes les vieilles versions de Java (notemment la 5 qui est installé chez toi).
• Cherche tous les items avec Java Runtime Environment (JRE or J2SE) dans leur nom.
• Clique sur Supprimer ou Modifier/Supprimer.
• Répète autant de fois que nécessaire cette opération pour supprimer tous les composants Java.
• Redémarre ton ordinateur une fois que la désinstallation de tous les composants est effectuée.
• Télécharge et installe la dernière version de java sur : http://java.sun.com/javase/downloads/index.jsp

============================

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

Désinsalle/supprime tout ce que je t'ai fait télécharger (sauf bien sur le firewall), tu peux aussi garder ATF-Cleaner.

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Infections
Ton infection était Trojan-Downloader.Java.OpenStream.ab, Worm.Win32.Perlovga.a, Email-Worm.Win32.Brontok.q

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne soirée/nuitée