"hacked by pticon & pticon2"

[invitea85a8cc5]

Bonjour à tous,

voilà je pense que mon notebook a été récemment infecté. En effet, depuis quelques jours, j'ai remarqué qu'à chaque page internet explorer ouverte, il était marqué en entête : "hacked by pticon & pticon2". Il n'y a pas d'autres anomalies constatées. Voulant trouver une solution à ce problème, je suis tombée sur une ancienne discussion du forum concernant ce sujet. N'ayant pas lu toute la discussion dans un premier temps (j'aurais du), j'ai appliquée une étape qui y était expliquée avec OTM.
L'inscription à chaque page internet "hacked by pticon & pticon2" a bien disparu, cependant, j'ai remarqué que d'étranges fichiers "desktop.ini" étaient apparus dans plusieurs de mes fichiers (musique, images etc). J'ai donc appliquée à la lettre la procédure préliminaire du forum. Et voici les fichiers que RIST a affiché après une analyse de l'ordinateur.
Pensez-vous qu'il reste encore une bestiole infectant mon notebook?
Si oui, pourriez-vous s'il vous plait, me dire quoi faire pour l'enlever?
Merci d'avance.
-----

[hackinginterdit]

Bonjour,
Bienvenue sur FS
Si tu veux bien on va regarder ça ensemble !!!!!

J'effectue en ce moment une formation et toutes les réponses que je vais te faire doivent être validées par un Helper confirmé. Il peut donc y avoir un certain laps de temps dans mes réponses soit patient(e) ceci étant bien sur pour la sécurité de ton Ordinateur !!!!

Patiente le temps que je regarde tes rapports

[invitea85a8cc5]

Merci beaucoup de prendre le temps d'étudier la question.
Si ça peut aider, voici d'autres informations (je ne sais pas si c'est utile, je n'y connais strictement rien en informatique): j'ai éteint tout à l'heure mon notebook puis l'ai rallumé 2 heures après. Bizarrement, je ne retrouve plus du tout les fichiers inconnus qui envahissaient mes dossiers. Ils ont disparu sans que je fasse quoi que ce soit! (ce qui est d'autant plus inquiétant je trouve)

[hackinginterdit]

Hello petitzèbre

Tu as plusieurs antivirus supprimes en un celui que tu veux Il ne faut qu'un antivirus sur un Pc, si non ils peuvent rentrer en conflit .

Ensuite tu vas faire ceci:

Tu vas désactiver l'Uac et le résident de spybot avec :
Télécharge Open-Config <== Clique ici de Loup Blanc

Si vous êtes sous Vista et 7, si l'UAC est activé il faut le lancer par clic droit en mode "Administrateur".

Tout ce qui est en vert c'est bon, en rouge tu peux déverrouiller.
Un clic sur le bouton "Déverrouiller la configuration" va permettre de corriger tous les points en rouge,



Ensuite fais ceci:

Télécharge OTM (de OldTimer). Sauvegarde-le sur ton Bureau.
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

:services
Partner Service
:files
C:\Program Files (x86)\Conduit 
c:\program files\partner\partner.exe         
:commands
[purity]
[emptytemp]

Double clique sur OTM.exe afin de le lancer.
Colle (ou Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
Clique maintenant sur le boutonMoveIt! puis ferme OTM3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Ensuite

Si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

• Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  Une fois l'installation et la mise à jour effectuées :
  
  
  
• Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen rapide".
• Afin de lancer la recherche, clic sur"Rechercher".
• Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
• Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
• Si des infections sont présentes, clic sur "Afficher les résultats"
  puis sur "Supprimer la sélection".
  
  Enregistre le rapport sur ton Bureau.
• Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.
  
  REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

[A voir en vidéo sur Futura]

[invitea85a8cc5]

Bonjour,

J'ai effectué toutes les étapes que vous m'avez décrites.
Mais d'abord, j'aurais besoin d'une petite précision: quand vous dites que j'ai plusieurs antivirus, je ne saisis pas. J'ai bitdefender comme antivirus, et on m'avait aussi recommandé d'installer spybot et cccleaner. Ceux-là sont-ils aussi des antivirus? Et dois-je les enlever alors?
En ce qui concerne l'ordi, voici les rapports demandés.
Pensez-vous qu'il soit véritablement nettoyé maintenant?
Dois-je garder les logiciels Malewarebytes anti-malware, OTM, ATF cleaner? Comment faire pour éviter que cela se reproduise?
Merci beaucoup de votre aide.

[hackinginterdit]

Bonjour petitzèbre

Code:

quand vous dites que j'ai plusieurs antivirus, je ne saisis pas.

Il reste des traces de McAfee
O23 - Service: McAfee SystemGuards (McSysmon) - Unknown owner -
Pour le supprimer avec Windows Vista/7

1. Cliquez sur Démarrer, Rechercher, saisissez programmes et fonctionnalités, puis cliquez sur Exécuter.
2. Double-cliquez sur Programmes et fonctionnalités.
3. Sélectionnez le produit McAfee SecurityCenter.
4. Cliquez sur Désinstaller et procédez comme indiqué.

et on m'avait aussi recommandé d'installer spybot et cccleaner. Ceux-là sont-ils aussi des antivirus? Et dois-je les enlever alors?

Pour spybot tu fais ce que tu veux il n'est plus ce qu'il a été tu gardes ou tu supprimes.
Ccleaner bien sur tu gardes

Dois-je garder les logiciels Malewarebytes anti-malware, OTM, ATF cleaner?

MBAM bien sur tu gardes AFT cleaner pas la peine puisque tu as Ccleaner OTM on va le supprimer

Pour désinstaller OTM
lance le et clique sur Clean Up!

Pensez-vous qu'il soit véritablement nettoyé maintenant?

On va vérifier

Télécharge OTL (de OldTimer) sur ton Bureau.

• Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et le laisse travailler.
• Lorsque la fenêtre apparaît, cochez Rapport Minnimal sous Rapport en haut de la fenêtre.
• Coche les cases Recherche LOP et Recherche Purity (En bleu vers le bas de la fenêtre).
• Sous la zone Personnalisation, copie/colle ceci :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
%systemroot%\System32\antiwpa. dll
%systemroot%\setup\scripts\bie start.exe
%systemroot%\system32\drivers\ royal.sys
%UserProfile%\Desktop\*.lnk
%SystemDrive%\*.*

• Clique sur le bouton Analyse. Ne change aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
• Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
• Copie/colle (Éditer -> Sélectionner Tout, Éditer -> Copier) le contenu des deux fichiers ici, un par message stp.

[invitea85a8cc5]

Bonjour hackinginterdit,

Voila j'ai effacé spybot et OTM.
Mais je ne trouve pas dans la liste des programmes à désinstaller Mcafee...J'ai beau cherché aussi dans l'ordinateur, je ne trouve pas de trace du logiciel. Où peut-il se cacher?
ATF-cleaner ne se trouve pas non plus dans la liste. Est-ce que le supprimer du bureau va le supprimer de l'ordinateur?

Concernant OTL, voici le premier rapport.

[invitea85a8cc5]

Voici le 2eme rapport d'OTL.

Sinon, j'ai remarqué que les fameux fichiers inconnus étaient réapparus un peu partout! Des fichiers se nommant desktop.ini et NTIBUN5.dll par exemple.
Visiblement il reste quelquechose de coriace. Impossible de les mettre en pièces jointes. Mais voici ce que dit un des fichiers desktop.ini:

[.ShellClassInfo]
LocalizedResourceName=@%System Root%\system32\shell32.dll,-21770
IconResource=%SystemRoot%\syst em32\imageres.dll,-112
IconFile=%SystemRoot%\system32 \shell32.dll
IconIndex=-235



Encore merci.

[invitea85a8cc5]

Désolée mais le copier coller était beaucoup trop long. C'est pour ça que j'ai mis les rapports en pièces jointes.

[hackinginterdit]

Bonsoir,

Relance OTL.exe.

Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant dans le cadre ci dessous depuis RIEN

Code:

RIEN
:OTL
DRV:64bit: - (USBCCID) -- C:\Windows\SysNative\DRIVERS\RtsUCcid.sys File not found
DRV:64bit: - (RtsUIR) -- C:\Windows\SysNative\DRIVERS\Rts516xIR.sys File not found
[2010/10/15 23:31:16 | 000,000,000 | ---D | M] (Softonic_France Toolbar) -- C:\Users\Flora\AppData\Roaming\mozilla\Firefox\Profiles\0qizvulc.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f}
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O18:64bit: - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Key error. File not found
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20:64bit: - Winlogon\Notify\igfxcui: DllName - Reg Error: Key error. - C:\Windows\SysNative\igfxdev.dll (Intel Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O33 - MountPoints2\{a81f5c91-0088-11df-80e7-001e640bbdd4}\Shell - "" = AutoRun
O33 - MountPoints2\{a81f5c91-0088-11df-80e7-001e640bbdd4}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found
[2010/10/15 23:31:26 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Softonic_France
[2010/10/14 18:26:55 | 000,004,006 | RHS- | M] () -- C:\Windows\system.vbe
[2010/10/14 18:26:55 | 000,004,006 | RHS- | C] () -- C:\Windows\system.vbe
:Files
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:5D7E5A8F
@Alternate Data Stream - 134 bytes -> C:\ProgramData\Temp:4D066AD2
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:1D32EC29
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:E3C56885
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:0B9176C0
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:4CF61E54
:Commands
[resethosts]
[emptytemp]

Maintenant peux tu me dire si tu as toujours les problèmes de ton premier poste STP

[invitea85a8cc5]

Bonsoir,

En fait ces fichiers sont toujours là. Mais d'après certaines personnes, ce sont des fichiers inoffensifs qui ne s'affichent plus en lecture caché.
En tout cas, je n'ai pas eu de réapparition du message "hacked by pticon & pticon2" en ouvrant internet explorer. J'imagine qu'il ne reste plus rien de malveillant.
Merci beaucoup de votre aide.
Bon courage pour la suite!

[hackinginterdit]

Bonjour,

En tout cas, je n'ai pas eu de réapparition du message "hacked by pticon & pticon2" en ouvrant internet explorer.

C'était bien le but.

Relance open-config et clique sur restaurer la configuration

• Double clique sur OTL.exe et clique sur le bouton purge outils
• OTL va supprimer tous les logiciels qu'on a utilisés et faire redémarrer ton ordinateur.

Quelques conseils

=> Les toolbars c'est pas obligatoire: http://forum.malekal.com/les-toolbar...ire-t6173.html
=> Comportement à adopter : http://assiste.com.free.fr/p/abc/a/safe_cex.html

=> Reste protégé en utilisant un antivirus, un pare-feu. et un antispyware
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus et ton anti-spyware après les avoir mis à jour et supprime ce qu'ils peuvent trouver.
Il te faut impérativement mettre à jour Windows (puis le tenir à jour régulièrement)

Vérifie que les mises à jour de Windows soient bien réglés en automatique, pour cela :

Démarrer / Paramètres / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement
puis clique sur Appliquer puis OK.

=> Défragmenter tous ses disques durs en un clic

Si tu ne disposes pas de ton propre défragmenteur (autre que celui de Windows, qui est peu efficace):

Télécharge et installe JKDefrag

=> Afin d’éviter les autres failles de sécurité des autres programmes présents sur ton PC :

- Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas.
http://secunia.com/software_inspector/
-Tuto http://www.malekal.com/scan_vulnerabilite.php

=> Afin de sécuriser ton PC comme il faut :

Internet Explorer n'étant pas sûr, il est préférable d'installer un navigateur internet alternatif pour sécuriser ton surf.

Tu as le choix entre mozilla firefox,ou encore Opéra.

Il faudra ensuite définir ce navigateur internet alternatif comme navigateur par défaut.

Pour toutes ces publicités ou bannières sur Internet qui prennent souvent plus de temps à charger que tout le reste de la page. Avec firefox tu peux installer "Adblock Plus"

Lien Adblock Plus

=> Pour sécuriser ta navigation :

_ Installe et utilise un bon antispyware préventif Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine.Garde cet antispyware gratuit et lance un scan tous les mois: si le rapport est positif, poste un message d'aide sur le forum en joignant le rapport.

petitzèbre Il ne me reste plus qu'à te souhaiter une bonne journée et un bon surf!!!!

[invitea85a8cc5]

Merci beaucoup d'avoir pris le temps de m'aider! J'espère ne plus avoir de problème à l'avenir. J'ai suivi tous tes conseils à la lettre donc je croise les doigts!
Bon courage pour la suite!
Encore merci