Infection trojan causant des lenteurs internet

[invite02591d97]

Bonjour à tous.

Mon ordinateur est infecté par un trojan qui devient pénible. En effet je ne parviens pas à le supprimer
et à chaque démarrage de Firefox, les recherches avec Google sont anormalement longues et chaque
fois que je clique sur un lien après une recherche la page affichée ne correspond pas du tout. En général
j'aboutis à des sites publicitaires ou alors je retourne aux résultats de recherche.

Je pense avoir localisé une partie du virus qui se situe dans Windows/Temp/tmpxxxxxx les x étant des
chiffres entre 0 et 9. Il est impossible de l'effacer par la voie normale. J'ai donc essayé un programme
FileShredder qui efface bien le dossier mais il revient à chaque redémarrage. Dans ce dossier se trouve
un fichier sans extension qui se nomme tmp0000000.

J'ai lancé un scan HiJackThis et coché toutes les lignes qui me paraissaient suspectes. Rien.
J'ai regardé dans le taskmanager et j'ai bien repéré un processus suspect : 5306530.tmp
J'ai fait une recherche de ce processus dans le registre et j'ai supprimé la clé trouvée. Résultat plus de
processus mais toujours cette lenteur dans la recherche Google et la redirection des résultats des
recherches.

j'ai tenté d'installer Spybot mais impossible. Idem pour MalwaresBytes AntiMalware.
J'ai testé VundoFix mais il ne trouve rien d'infecté. Je ne sais plus vraiment comment faire pour retrouver
une recherche Google rapide et sans redirection.

Petite question subsidiaire : je n'ai toujours pas fait ma copie de sauvegarde de mon Vista faute de dvd vierges. Si je fais
la copie maintenant sera-t-elle infectée par le virus ?

Merci de votre aide.
-----

[invite02591d97]

Voici les rapports obtenus avec RSIT.

[invitec04351b8]

Bonjour,

tu es victime d'un détournement de DNS et d'une infection via les supports amovibles.

=======

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

======

Télécharge WORT de pc-system.fr
http://pc-system.fr/WORT/WORT.exe

Crée un dossier C:\WORT
Installe les fichiers en cliquant sur WORT.exe
Ouvre le dossier et clique sur WareOut_Removal_Tool.bat
Choisis l'option 1 et poste le rapport.
Il sera enregistré dans C:\WORT\WORT_report.txt
Il te sera proposé d'éxécuter le fichier WORTregfix.reg, accepte.

======

Télécharge et installe [http://sd-1.archive-host.com/membres...653/UsbFix.exe UsbFix] de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir


# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis Exécuter en tant qu'administrateur .

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


@+

[invite02591d97]

Bonjour Lyonnais92.


J'ai effectué les tâches que tu as décrites, voici les deux rapports.

De mon côté j'ai lancé SmitFraudFix hier soir, option 2 en mode sans
échec et option 5 en mode normal.

Le dossier ineffaçable planqué dans Windows/Temp/ est toujours là
avec son fichier tmp00000 sans extension ineffaçable aussi.

SmitFraudFix avait semble-t-il résolu le problème de détournement de DNS mais je constate que non puisque je suis toujours redirigé à partir des résultats Google.

Enfin l'installation de Spybot s'est bien lancée mais lors de la finalisation j'ai droit à un écran bleu et ceci lors de chaque tentative d'installation.

Je te poste le dernier rapport SmitFraudFix.
Merci de ton aide .

[A voir en vidéo sur Futura]

[invitec04351b8]

Bonjour,

s'il te plait, ne fais que ce que je demande. Sinon, je ne sais plus où on en est.

==========

<gras>Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir


# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi Exécuter en tant qu'administrateur .

# Choisis l' option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

===========

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

==========

Le fichier c'est bien Windows/Temp/tmp00000 ?

@+

[invite02591d97]

Bonsoir.

J'ai fait ce que tu m'as demandé, voici le rapport usbfix.

MalwaresByte AntiMalware se télécharge et s'installe mais impossible de le lancer l'ordinateur me dit que le programme a cessé de fonctionner.

[invitec04351b8]

Bonjour,

fais redémarrer l'ordi et remets un rapport RSIT.

=====================

Le fichier c'est bien Windows/Temp/tmp00000 ?

@+

[invite02591d97]

Bonjour.

Voici les nouveaux rapports RSIT.

Le fichier récalcitrant est le suivant :

C:/Windows/Temp/tmp000050b7/tmp00000000


a+

[invitec04351b8]

Bonjour,

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

@+

[invite02591d97]

Bonjour.

J'ai téléchargé Combofix, bien sauvegardé sur le bureau mais même problème qu'avec MBAM dès le lancement Windows m'affiche le message :

"le programme a cessé de fonctionner"

Idem avec Spybot.

a+

[invitec04351b8]

Bonjour,

essaye comme ceci :

Démarrer, Exécuter, tape <code>combofix /u</code> dans la zone de saisie puis clique sur OK.

Ensuite, tu reprends la procédure de téléchargement et installation de Combofix.

Mais, au moment où on te demande de l'enregistrer, tu choisis le Bureau, comme tu as fait, mais tu le nommes antichose.

On va voir si ça suffit pour en permettre l'exécution.

@+

[invite02591d97]

Rebonjour apparemment renommer le fichier éxécutable a rendu possible le fonctionnement de ComboFix.


Voici le log qui en est sorti.

[invitec04351b8]

Re,

On a débusqué le rootkit.

Comment se porte l'ordi ?

=====

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

• Télécharge le fichier en pièce jointe.
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Réactive tes protections

===========

Refais tourner MBAM et poste le rapport.

@+

[invite02591d97]

Rebonsoir.


J'ai pu lancer MBAM donc et rien a signaler, voici le rapport.


Cependant j'ai jeté un oeil dans le dossier

C:/Windows/Temp/

et le fameux dossier tmpxxxxxx (les x étant aléatoirement des chiffres et des lettres changeant très souvent) est toujours présent ainsi que le fichier sans extension tmp00000000 se trouvant à l'intérieur.

[invitec04351b8]

Re,

on va voir si ceci suffit :

Téléchargez TFC par OldTimer sur votre Bureau

• Faites un double clic sur TFC.exe pour le lancer. (Note: Si vous êtes sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur).
• L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours avant de commencer.
• Cliquez sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laissez le programme s'exécuter sans l'interrompre.
• Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système. S'il ne le fait pas, veuillez faire redémarrer manuellement le PC vous-même pour parachever le nettoyage.

Regarde si le problème est encore là.

@+

[invite02591d97]

Bonsoir Lyonnais92.

Décidément, ce fichier temporaire a la tête dure, il est toujours là
malgré l'utilisation de TFC.

Je te joins deux captures.

A+

[invitec04351b8]

Bonjour,

je n'ai pas eu le rapport du dernier passage de Combofix (avec le script).

Poste C:\Combofix.txt

Peux préciser de quand date ton souci (ça m'aiderait dans mes recherches) ?

@+

[invite02591d97]

Bonjour lyonnais92.


Pour le rapport ComboFix je n'ai pas pu l'obtenir je ne parviens pas à télécharger le script que tu as laissé en pièce jointe. Le site me dit que je n'ai pas accès à cette page et "enregistrer la cible du lien sous" ça me donne un fichier qui ne correspond pas du tout au script en question.

Pour répondre à ta question, je me suis rendu compte de la présence de ce dossier depuis un peu plus d'une semaine environ. J'avais déjà rencontré un virus qui faisait apparaitre le même type de dossier j'ai donc vérifié immédiatement quand j'ai eu mon infection.

Le fichier sans extension tmp00000000 se crée à chaque démarrage de l'ordinateur si l'on en croit les informations qui lui sont affiliées. Après je n'en sais pas plus. J'ai fait une recherche dans le registre avec regedit, j'ai recherché "*.tmp". J'ai eu 6 ou 7 résultats mais j'ai préféré ne rien supprimer ne sachant pas l'importance des clés trouvées. A chaque tentative de suppression Vista me dit qu'il me faut une autorisation pour supprimer bien que je dispose de tous les droits administrateurs sur ma machine.

Bref, le roman s'arrête là, tu m'as déjà bien aidé pour le reste

[invitec04351b8]

Re,

pour le script Combofix, le voilà en clair :

Code:

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{4D87DB16-55E4-43DE-9BD3-519030C3FD2D}c:\\users\\gilles\\appdata\\local\\temp\\blizzard launcher temporary - 28a430a8\\launcher.exe"=-
"UDP Query User{C04C283C-F4A0-4F20-9827-6BEC608BFB4C}c:\\users\\gilles\\appdata\\local\\temp\\blizzard launcher temporary - 28a430a8\\launcher.exe"=-
"TCP Query User{B9E67CCD-E249-4AB1-80D6-2D90595D95DE}c:\\users\\gilles\\appdata\\local\\temp\\blizzard launcher temporary - 118d5e60\\launcher.exe"=-
"UDP Query User{ED1E29A7-36C5-40C9-A8E6-D7ADA73CE763}c:\\users\\gilles\\appdata\\local\\temp\\blizzard launcher temporary - 118d5e60\\launcher.exe"=-
"TCP Query User{CF35F0D3-C3BB-499D-B7E9-763920613853}c:\\users\\gilles\\appdata\\local\\temp\\blizzard launcher temporary - 2f6e5968\\launcher.exe"=- 
"UDP Query User{098B5EFF-86C1-41D4-9B4F-5A177C2C2F15}c:\\users\\gilles\\appdata\\local\\temp\\blizzard launcher temporary - 2f6e5968\\launcher.exe"=-

Tu réexécutes avec le script comme indiqué plus haut.

Tu refais tourner TFC avec redémarrage.

Tu me dis pour le fichier.

@+

[invite02591d97]

Bonjour Lyonnais,

Je n'ai toujours pas éxécuté ComboFix avec le script...

La raison : j'utilise BitDefender et Windows Live One Care. Même en arretant les processus via le gestionnaire de tâches ils se réactivent et ComboFix me lance un message d'avertissement.

J'ai déja désinstallé les deux logiciels une fois pour le premier passage de ComboFix, je t'avouerais que les désinstaller une nouvelle fois, en sachant que les chances pour que ce fameux fichier tmp00000000 disparaissent sont minces....

Autrement j'ai un petit indice. Mon amie a acheté un pc portable avec le même OS que moi, et je suis allé vérifier dans le dossier Windows/Temp. Grosse surprise !!

Elle a le même type de fichier et de dossier suspect que moi. Pourtant aucune manip suspectes sur son ordinateur.

[invitec04351b8]

Bonjour,

cette histoire de fichier est bizarre.

Je comprends que tu n'ais pas envie de désinstaller-réinstaller.

On va utiliser un outil moins exigeant.

Télécharge OTListIt sur ton Bureau.

• Ferme toutes les fenêtres de programme,
• Double clic sur OTL.exe pour le lancer.
• Coche les 2 cases Lop et Purity
• Coche la case devant "Scan all users"
• Clique sur le bouton Run Scan et laisse le programme tourner sans l'interrompre
• Il va produire deux rapports (logs), l'un d'eux nommé OTL.txt va s'ouvrir dans le Bloc-notes, l'autre nommé Extras sera enregistré sur le Bureau.
• Poste les 2 rapports dans ta réponse.

@+