Infection rebelle, besoin d'aide.

[invite556b690e]

Bonjour à tous,

En me documentant sur la lutte contre les malwares j'ai découvert votre communauté et je me permets de poster un premier message en exposant un... problème .

Je suis infecté par une saleté qui résiste à mes programmes habituels de lutte contre les infections. Mais ayant lu "les premiers gestes" je n'en suis plus étonné...

Les symptômes :
1) ouvertures intempestives de fenêtres avec firefox

2) messages d'alerte de avast m'indiquant je me connecte à un site malveillant

et

3 ?) j'ai été victime il y a peu de temps (la semaine dernière) d'une escroquerie à la carte bancaire. Mes numéros de cartes on été utilisés pour acheter 1500 euros de camelote... Ce point n'a peut être pas de rapport avec les précédents.

Merci beaucoup pour votre aide

En pj les fichiers info et log

edit : les pj ne passent pas
-----

[invite556b690e]

Le fichier info

[invite556b690e]

Impossible faire passer le fichier log puis-je en copier-coller le contenu ?

Merci

[b marlow]

Salut,
Ferme ton navigateur, repasse un coup de ATF-Cleaner (pour nettoyer le cache internet)
puis retente de poster ton rapport en >PJ. Apès comme tu as MBAM, fais un scan complet
à la fin clique sur Supprimer la sélection. Accepte le reboot (si c'est demandé par MBAM)
enfin poste le rapport final.

[A voir en vidéo sur Futura]

[invite556b690e]

Mbam a réussi a aller au terme de son analyse et j'ai mis en quarantaine :

D:\System Volume Information\_restore{D0A7F284-3462-4096-B88D-E8A4260D78BC}\RP586\A0052314.e xe (Trojan.Agent)

Le fichier log passe tjrs pas en pj

[b marlow]

héberge-le ici, puis poste le lien:
http://www.cijoint.fr/

[invite556b690e]

héberge-le ici, puis poste le lien:
http://www.cijoint.fr/

ça ne marche pas, j'ai apparemment un problème avec les upload.
"la connexion a été réinitialisée" c'est le message que j'obtiens systématiquement.

[invite556b690e]

Ne parvenant pas à joindre un fichier, je me permets de coller le rapport Hijackthis. Je vois des choses suspectes
quelles lignes puis-je "fixer" ?

Merci

[b marlow]

tu peux aussi changer d'antivirus,>AntiVir (tuto)< est bien meilleur qu'avast.
Il est en français et tout aussi gratuit.
Si tu changes d'av ce qui est souhaitable, désinstalle avast avant l'installation d'AntiVir.
Configure-le comme sur le tuto puis fais un scan. S'il détecte un problème poste le rapport.

Clique ici pour télécharger la dernière version.

[invite556b690e]

Avast désinstallé.
Antivir installé, configuré avec ta vidéo.
L'analyse complète est en cours !

Un immense merci !

[invite556b690e]

Résultat du scan : 7 virus !

Est-ce que à ton avis les virus qui étaient présents peuvent avoir servi au piratage de mes numéros de carte bancaire ?

ps : y a effectivement pas photo entre l'efficacité de avast et celle de antivir : 0-7

[invite556b690e]

Bon je pense que l'ordinateur tourne mieux depuis le nettoyage antivir

J'ai eu quand même la désagréable surprise d'avoir une ouverture de fenêtre intempestive, je ne parviens tjrs pas à poster le log en pj.

[b marlow]

Dans CCleaner>options>avancé>décoche:
Effacer uniquement les fichiers datant de plus 24h
retour à Nettoyeur>lancer le nettoyage>ok. 2 à 3 fois.
coche toutes les cases de l'onglet Registre>Chercher les erreurs>Réparer les erreurs.
ensuite tu peux le remettre avec ses paramètres par défaut.
Tuto en images

ensuite vois si tu peux poster un log.txt RSIT tout frais.

[invite556b690e]

- J'ai fait le ménage avec ccleaner comme tu m'as indiqué.
- Les PJ ne passent tjrs pas.

Merci pour ta patience

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite556b690e]

J'ai utilisé ComboFix, cela m'a fait l'effet d'un électrochoc ou d'une panne de moteur en Airbus : je me suis dis que peut-être que j'en sortirai vivant.

En plus j'ai merdé pendant l'utilisation de ComboFix en lui disant OK pour la connexion internet alors qu'elle nétait pas prête.

J'ai donc perdu ma connexion pdt quelques temps ce qui m'a donné le grand frisson. Je l'ai miraculeusement récupérée et je constate que :

- un de mes softs photos (DxO) qui ne fonctionnait plus sans explication apparente remarche
- j'ai pu associer des pj à ce message !!

Quand il est dit que la recherche de malware c'est pas deux clics dans un logiciel, je confirme.

Tous mes remerciements pour le temps consacré à résoudre mes pbs et à me faire progresser

ps : c'est normal que combofix ait créé une icone style bureau dans c: ?

[b marlow]

cherche ce programme C:\Program Files\trend micro\Utilisateur.exe
double clique dessus, clique sur Do a system scan only
coche ces lignes puis clique sur le bouton Fixchecked:

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Langu age\Language.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: UltraMon.lnk = ?

ps : c'est normal que combofix ait créé une icone style bureau dans c: ?

oui, pas de soucis.

Pour nettoyer les outils ayant servi à la procédure:
Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

[invite556b690e]

Un très grand merci à toi b marlow

Ton esprit d'entraide et tes grandes compétences m'ont beaucoup aidé !

[b marlow]

De rien, bon surf.

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis

@+