Disparition barre d'outils et bureau écran noir !

[Kley]

Bonjour,

Dans la journée de Jeudi, mon ordi s'est allumé sur le poste de travail. J'ai constaté également la suppression de la barre d'outils et du bureau (Voir image pièce jointe) ainsi qu'une incapacité à ouvrir ma session en mode sans échec.
Ci-joint les rapports RSIT (J'ai essayé d'uploader le log de MBAM, mais le format ne semble pas être compatible).
bureau.jpg Poste-Travail.jpg

Merci d'avance.

Cordialement.
-----

[Kley]

Ci-joint les rapports FRST.
FRST_14-09-2014_19-58-50.txtAddition.txt

Cordialement.

[Kley]

Bonjour,
Et voici le rapport de MBAM après mise à jour de la base de données.
MBAM.txt

[chantal11]

Bonjour,

Je regarde tes rapports et t'indique la suite.

@+

[A voir en vidéo sur Futura]

[chantal11]

Re,


Les cracks et keygens sont des vecteurs de malwares et d'infections ........ la preuve, tu es là !
Le danger des cracks !

--------------------------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :

BitGuard

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  CloseProcesses:
  SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = 
  FF NewTab: hxxp://www.delta-search.com/?affID=1215612&babsrc=NT_ss&mntrId=323BD8D38502A507
  FF DefaultSearchEngine: Delta Search
  FF SelectedSearchEngine: Delta Search
  FF SearchPlugin: C:\Users\Med\AppData\Roaming\Mozilla\Firefox\Profiles\b9m6zn4o.default\searchplugins\babylon.xml
  S2 BitGuard; C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [X]
  C:\ProgramData\BitGuard
  EmptyTemp:
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Scanner :

• Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
• Un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(R).tx t

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
AdwCleaner-Scanner

@+

[Kley]

Re,

Ci-joint les rapports.
D'autre part, mon fond-d'écran a disparu après le lancement de FRST.

Merci.

@+

[chantal11]

Re,

D'autre part, mon fond-d'écran a disparu après le lancement de FRST.

C'est-à-dire ? L'écran noir a disparu et le Bureau s'affiche ?


--------------------------------------------------------------------------------------------------------------

AdwCleaner - Nettoyer :

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
• Patiente le temps de l'analyse et valide le message d'informations
• Un redémarrage est demandé, valider par OK
• Au redémarrage, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(S).tx t

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport AdwCleaner-Nettoyer

@+

[Kley]

C'est-à-dire ? L'écran noir a disparu et le Bureau s'affiche ?

Non. L’écran noir est finalement superficiel. J'ai pu restituer manuellement un fond d’écran hier. Mais après le lancement de FRST, le fond noir est réapparu. Même constat après le nettoyage avec AdwCleaner (Disparition du fond d'écran restitué et réapparition du fond noir).

Ci-joint le rapport.


Je mentionne par contre, une incapacité persistante à restituer les icônes sur le bureau et à lancer Avira.

@+

[chantal11]

Re,

Nous allons refaire une analyse Malwarebytes, mais avec ces paramètres :

--------------------------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Lance Malwarebytes
• Dans Version de la base de données, clique sur le lien Mettre à jour pour installer les mises à jour et laisse l'outil les installer
• Dans Examen, coche Examen "Personnalisé" puis clique sur Examiner maintenant
• Sélectionne le(s) lecteur(s) à analyser
• Coche la case Recherche de Rootkits
• Sélectionne Traiter les détections comme des malveillants pour les détections PUP et PUM
• Puis clique sur Lancer l'examen
• Si l'outil te propose d'autres mises à jour, valide en cliquant sur Mettre à jour maintenant
• Patiente le temps de l'analyse
• Pour supprimer les éléments détectés, clique sur Tout mettre en quarantaine
• Si un redémarrage est demandé, clique sur Yes
• Au redémarrage, relance Malwarebytes
• Dans Historique, clique sur Journaux de l'application
• Sélectionne le journal d'examen le plus récent, puis clique sur Afficher
• Clique sur Exporter puis sur Fichier texte (*.txt)
• Enregistre le rapport sur ton Bureau. Poste ce rapport dans ta prochaine réponse
  Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Ma lwarebytes' Anti-Malware\Logs

Tutoriel d'utilisation Malwarebytes en images

--------------------------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller (pour un système 32 bits) ou RogueKiller x64 (pour un système 64 bits) de Tigzy, et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte l'EULA du programme
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Malwarebytes
RogueKiller-Recherche

@+

[Kley]

Bonjour,

Ci-joint le rapport de MBAM.

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

Le scan s'est arrêté lors de la recherche des process. Je réessaye.

Bonne journée.
@+

[Kley]

Merci de trouver le rapport de RogueKiller.

Peut-on affirmer que les symptômes décrits dans le titre sont bien liés à l'infection ?

@+

[chantal11]

Re,

Peut-on affirmer que les symptômes décrits dans le titre sont bien liés à l'infection ?

On vérifie pour l'instant du côté infectieux.

Toujours l'écran noir, les icônes disparues et l'impossibilité de lancer Avira ?

Si c'est bien le cas :

---------------------------------------------------------------------------------------------

TDSSKiller :

• Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
• Double-clique sur TDSSKiller.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
  Il faut le valider en cliquant sur Reboot now.
• Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
  L'outil TDSSKiller se relance.
• Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
• Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
• En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
  - Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
  - Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
  - Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
  - Si Suspicious object est indiqué, l'option Skip soit cochée
• Clique ensuite sur Continue, puis clique sur Reboot computer (si l'option est proposée)
• Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_ log.txt dans ta réponse sur le forum
  Le rapport TDSSKiller.Version_Date_Heure_ log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heu re_log.txt
  note : 3 rapports TDSSKiller sont enregistrés sous C:\ - il faut poster le plus important en taille

Tutoriel d'utilisation TDSSKiller en images

---------------------------------------------------------------------------------------------

Est attendu le rapport TDSSKiller.

@+

[Kley]

Toujours l'écran noir, les icônes disparues et l'impossibilité de lancer Avira ?
Est attendu le rapport TDSSKiller.

@+

Oui.

Ci-joint. @+

Ps: Le fichier dépasse la taille autorisée par le forum...?

[JPL]

Zippe-le, ou découpe-le en plusieurs morceaux..

[Kley]

Zippe-le, ou découpe-le en plusieurs morceaux..

Ah OK, le zip passe. J'avais essayé de l'archiver au format .rar...

Ci-joint.

@+

[chantal11]

Re,

OK, le rapport est bon.

Nous allons vérifier une clé avec FRST.

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  Reg: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

@+

[Kley]

Ci-joint.

@+

[chantal11]

Re,

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  Reg: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d explorer.exe /f
  EmptyTemp:
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

Est attendu le nouveau rapport Fixlog

@+

[Kley]

Bingo : La total : réapparition du fond d'écran, de la barre d'outils ainsi que du menu démarrer. Accès à l'antivirus.

Ci-joint le rapport demandé.

Un grand merci Chantal.

Comme les symptômes décrits dans le titre sont bien liés à l'infection, il me semble que la source est un logiciel indésirable qui s'est automatiquement téléchargé (sans ma permission) en surfant sur internet Mercredi dernier. Je pensais que le fait d'avoir stoppé le téléchargement avant la fin m'éviterais l'infection, mais ça n'a pas été le cas.

Quel est l'intention d'une infection par rogues ?

Bonne soirée.

@+

[chantal11]

Re,

Bingo : La total : réapparition du fond d'écran, de la barre d'outils ainsi que du menu démarrer. Accès à l'antivirus.

Super

Je pensais que le fait d'avoir stoppé le téléchargement avant la fin m'éviterais l'infection, mais ça n'a pas été le cas.

Non, ça ne suffit pas, car certains éléments néfastes sont chargés dans les fichiers temporaires, ces éléments ont été traités par Malwarebytes, mais ils ont eu le temps de commencer à agir.

Quel est l'intention d'une infection par rogues ?

Un rogue a pour but de bloquer le bureau et les applications pour pousser l'utilisateur a acheté un faux logiciel de sécurité qui ne nettoiera rien !
Un ransomware va bloquer le bureau et/ou crypter les données de l'utilisateur et demander une rançon pour soi-disant débloquer.
Avec certains ransomwares-crypteurs, les données sont irrécupérables.

Tu constates donc qu'il est très dangereux d'utiliser des cracks et keygens, de surfer avec des extensions et navigateurs qui ne sont pas à jour, notamment sur des sites de streaming illégal.


Nous allons donc pouvoir finaliser la procédure.

---------------------------------------------------------------------------------------------

Java :

Télécharge et installe cette dernière version Java

Pense à décocher la barre Ask qui est proposée


Ensuite, dans le Panneau de configuration Java, dans l'onglet Avancé -> rubrique Divers -> coche la case Supprimer les offres de parrainage lors de l'installation ou la mise à jour de Java -> Appliquer


---------------------------------------------------------------------------------------------

DelFix :

• Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône Delfix.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, coche uniquement les options
  - Supprimer les outils de désinfection
  - Purger la restauration système
• Clique ensuite sur Exécuter et laisse l'outil travailler
  
• Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\DelFix.txt

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  
  /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !
  
  /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  Installation d'une application sponsorisée, les pièges à éviter !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
  SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système
  
  
• Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation
  
  
  /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
  Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
  

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF