Rogue "Vista Security Plus 2013"

[invite01e752d8]

Bonjour,
(Et Bonne Année 2013! )

Bon, j'ai eu un petit souci juste avant la prétendue "fin du monde". C'était le 20/12/12 au soir. Mon ordinateur avait fait une "mise à jour Windows" (désolé, je suis une vraie bille en informatique , pas sûr que ce soit le bon terme). Je ne sais pas si ça vient de là, mais alors que je voulais regarder une série en streaming (autre voie par laquelle l'infection a pû arriver?), des fenêtres d'avertissement se sont ouvertes. J'ai naïvement cru que c'était mon centre de sécurité Windows qui voulait une nouvelle mise à jour et ensuite j'ai vite compris que ce "Vista Security Plus 2013" avait pris la place de mon centre de sécurité et qu'il ne s'agissait pas d'une version mise à jour. Mon antivirus "Avira AntiVir Personal" n'avait rien trouvé ce soir-là (il était à jour et j'ai lancé un scan complet après m'être rendu compte de l'infection).

Depuis, je n'avais pas rallumé mon ordinateur de peur que la contamination ne se répande dans le système (je l'ai mis "au repos", je suis biologiste de formation et j'ignore profondément comment une infection informatique fonctionne). En attendant, j'ai allumé l'ordinateur de ma soeur et regardé un peu vos conseils sur le site.
Ce 04/01/13, j'ai rallumé mon ordinateur, fait une mise à jour de mon antivirus et il a trouvé 2 fichiers "contaminés" que j'ai supprimés. Depuis, j'ai encore des bugs mais plus de pop-ups intempestifs comme la dernière fois.
J'ai téléchargé le logiciel RSIT, ça a bugué un peu mais finalement les rapports se sont ouverts. Je les joins à ce message.

J'attends la suite des instructions. Un GRAND Merci par avance à la/aux personne/s qui m'aidera/aideront!

-----

[hackinginterdit]

Bonjour,

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

• Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  Une fois l'installation et la mise à jour effectuées :
  
• Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen rapide"
• Afin de lancer la recherche, clic sur " Rechercher ".
• Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
• Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
• Si des infections sont présentes, clic sur "Afficher les résultats"
  puis sur "Supprimer la sélection".
  
  Enregistre le rapport sur ton Bureau.
  REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok et poste le rapport dans ta prochaine réponse.

TOUS LES UTILITAIRES doivent être lancés depuis le Bureau (sauf indication spécifique). Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer (tout de suite après par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller".
Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau.

Télécharge OTL sur ton Bureau.

• Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
• Double-clique sur OTL.exe pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
• L'écran principal de OTL s'affiche:

(1) Si ce n'est déjà fait, dans le paragraphe Registre: Approfondi, cocher le bouton-radio Avec liste blanche

(2) Coche (en haut) la case située devant Tous les utilisateurs

(3) Coche également les cases à côté de Recherche Lop et Recherche purity

(4) Sélectionne très précisément tout ce qui est dans le cadre ci dessous avec la souris et copie/colle le contenu dans la zone Personnalisation de la fenêtre OTL

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
afd.sys
ipsec.sys
netbt.sys
tcpip.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\ *.sys /lockedfiles
%systemroot%\System32\config\* .sav
CREATERESTOREPOINT

(5) Puis cliquer sur le bouton Analyse

- Laisser l'outil travailler sans l'interrompre.

Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Colle les rapports dans ta réponse en pièces-jointes.

[invite01e752d8]

Bonjour Hackinginterdit,

Voici les rapports en pièces jointes. Je jèterai un coup d'oeil ce soir au forum, mais sinon, prenez votre temps pour répondre! Merci de mettre vos compétences au service des autres!
Passez un bon week-end!

Apus

(PS: désolé, je me suis trompé avec les pièces jointes, j'ai reposté le "info.txt" de la dernière fois et je ne sais pas comment le supprimer)

[hackinginterdit]

(PS: désolé, je me suis trompé avec les pièces jointes, j'ai reposté le "info.txt" de la dernière fois et je ne sais pas comment le supprimer)

Pas grave !

Internet Explorer (Version = 7.0.6002.18005) Pas à jour = faille de sécurité

Relance OTL.exe.
Fais un double clic sur l'icône pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Sélectionne très précisément tout ce qui est dans le cadre ci dessous depuis RAS, avec la souris et copie le contenu dans la zone "Personnalisation" de la fenêtre OTL

RAS
:OTL
CHR - default_search_provider: search_url = {google:baseURL}search?q={sear chTerms}&{google:RLZ}{google:a cceptedSuggestion}{googleriginalQueryForSuggestion}{goo gle:assistedQueryStats}{google :searchFieldtrialParameter}sou rceid=chrome&ie={inputEncoding }
O33 - MountPoints2\{46e3c2ed-1c84-11df-afef-002354907ced}\Shell - %µ£%µ£ = AutoRun
O33 - MountPoints2\{46e3c2ed-1c84-11df-afef-002354907ced}\Shell\AutoRun\co mmand - %µ£%µ£ = G:\AutoRun.exe
O33 - MountPoints2\{7809b4c0-17ab-11df-a6f1-002354907ced}\Shell\AutoRun\co mmand - %µ£%µ£ = q93fi6kf.exe
O33 - MountPoints2\{7809b4c0-17ab-11df-a6f1-002354907ced}\Shell\open\Comma nd - %µ£%µ£ = q93fi6kf.exe
[2012/12/21 01:26:50 | 000,010,678 | -HS- | M] () -- C:\Users\SKy\AppData\Local\6o4 v7yr6ikfw18072u
[2012/12/21 01:26:50 | 000,010,678 | -HS- | M] () -- C:\ProgramData\6o4v7yr6ikfw180 72u
:Files
ipconfig /flushdns /c
C:\WINDOWS\tasks\*.job
:Commands
[emptytemp]

• Puis clique sur le bouton Correction en haut de la fenêtre.
• Laisse le programme travailler sans te servir du PC!!!!!
• Copie et colle le rapport dans ta réponse stp

Ca donne quoi Maintenant ?

[A voir en vidéo sur Futura]

[invite01e752d8]

Bonsoir!

Mon PC a l'air de bien fonctionner désormais, mais difficile à dire, je ne l'ai pas encore beaucoup utilisé.
En tout cas, plus de fenêtre intempestive, le centre de sécurité windows n'est plus dépossédé de lui-même et je peux accéder à internet sans "bidouille" (j'étais obligé de faire un clic droit avec exécution d'Internet explorer en tant qu'administrateur). Je vais tâcher de mettre à jour Internet Explorer!

Voici le rapport OTL après avoir lancé la correction:

All processes killed
Error: Unable to interpret <RAS> in the current context!
========== OTL ==========
Use Chrome's Settings page to remove the default_search_provider items.
Registry key HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ Explorer\MountPoints2\{46e3c2e d-1c84-11df-afef-002354907ced}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Cl asses\CLSID\{46e3c2ed-1c84-11df-afef-002354907ced}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ Explorer\MountPoints2\{46e3c2e d-1c84-11df-afef-002354907ced}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Cl asses\CLSID\{46e3c2ed-1c84-11df-afef-002354907ced}\ not found.
File G:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ Explorer\MountPoints2\{7809b4c 0-17ab-11df-a6f1-002354907ced}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Cl asses\CLSID\{7809b4c0-17ab-11df-a6f1-002354907ced}\ not found.
File q93fi6kf.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ Explorer\MountPoints2\{7809b4c 0-17ab-11df-a6f1-002354907ced}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Cl asses\CLSID\{7809b4c0-17ab-11df-a6f1-002354907ced}\ not found.
File q93fi6kf.exe not found.
File C:\Users\SKy\AppData\Local\6o4 v7yr6ikfw18072u not found.
File C:\ProgramData\6o4v7yr6ikfw180 72u not found.
========== FILES ==========
< ipconfig /flushdns /c >
Configuration IP de Windows
Cache de r‚solution DNS vid‚.
C:\Users\SKy\Desktop\cmd.bat deleted successfully.
C:\Users\SKy\Desktop\cmd.txt deleted successfully.
C:\WINDOWS\tasks\GoogleUpdateT askMachineCore.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateT askMachineUA.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateT askUserS-1-5-21-4097247812-657756936-946533016-1000Core.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateT askUserS-1-5-21-4097247812-657756936-946533016-1000UA.job moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Invité
->Temp folder emptied: 143058 bytes
->Temporary Internet Files folder emptied: 4749078 bytes
->FireFox cache emptied: 97783822 bytes
->Google Chrome cache emptied: 8488134 bytes
->Flash cache emptied: 531 bytes

User: Public

User: SKy
->Temp folder emptied: 219291398 bytes
->Temporary Internet Files folder emptied: 882046693 bytes
->Java cache emptied: 675360 bytes
->FireFox cache emptied: 94582067 bytes
->Google Chrome cache emptied: 461513390 bytes
->Flash cache emptied: 121358 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 214462636 bytes
RecycleBin emptied: 1553667 bytes

Total Files Cleaned = 1*893,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 01052013_233533

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Bon, je ne dirais pas merci à chaque message de ce fil, mais bon... je le pense!

[hackinginterdit]

Bonjour Apus apus

Je vais tâcher de mettre à jour Internet Explorer!

Oui il faut !

J'ai vu que tu avais firefox, tu le prends pour naviguer, tu le mets a jour et tu lui colles :

Adblock +: https://addons.mozilla.org/en-US/fir.../adblock-plus/

List FR + EasyList << à mettre à jour régulièrement


Double clique sur OTL.exe et clique sur le bouton purge outils
Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Le PC va redémarrer pour supprimer l'outil et sa quarantaine.


Télécharge TFC par OldTimer impérativement sur ton Bureau à utiliser régulièrement :

- Fais un double clic (clic droit executer en tant qu'administrateur avec vista) sur TFC.exe pour le lancer.

- Attention, l'outil va fermer tous les programmes. Vérifie que que tu as sauvegardé tout ton travail en cours avant de le lancer.

- Clique sur le bouton Start pour lancer le processus. Cela peut durer de quelques secondes à quelques minutes. Laisse le programme s'exécuter sans l'interrompre.

- Lorsqu'il a terminé, l'outil peut faire redémarrer le système si nécessaire.

A LIRE

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash

[invite01e752d8]

Bonjour Hackinginterdit! (je me permets d'écrire à cette heure, comme vous avez l'air d'être un lève-tôt )

J'ai mis à jour Internet Explorer et Firefox et j'ai également cliqué sur le lien pour avoir "adblock".
OTL a été "purgé".
J'ai téléchargé puis exécuté TFC. Ca n'a pas redémarré le système (juste balayé et "chamboulé" les icônes sur la gauche du bureau) mais je n'ai pas réussi à copier le rapport dans le "Bloc-notes" (mais je suppose que ce n'est pas important, sinon vous me l'aurez demandé, non?...).
J'ai également fait une mise à jour de Java (même si j'ignore totalement à quoi sert ce programme )
En tout cas, mon ordinateur semble pas trop mal fonctionner pour le moment. Peut-être un peu lent, mais comme je viens de faire plein de mise à jour... A priori, le problème est réglé, non?

En tout cas, MERCI pour tout! (le dépannage et les liens à lire -> d'ailleurs je vais voir ça de plus près, même si je ne comprends pas tout)
Et très bonne continuation à toute l'équipe Anti-malware!

Apus.

PS: par contre pour List FR et EasyList, je n'ai pas trop compris (je ne vois pas ce que c'est), mais bon, j'irai chercher l'info!

[hackinginterdit]

Bonjour,

A priori, le problème est réglé, non?

Oui

J'ai également fait une mise à jour de Java (même si j'ignore totalement à quoi sert ce programme

http://www.java.com/fr/download/faq/whatis_java.xml

PS: par contre pour List FR et EasyList, je n'ai pas trop compris (je ne vois pas ce que c'est), mais bon, j'irai chercher l'info!

http://easylist.adblockplus.org/fr/