Infection probable avec redirection commerciale...

[JeanE]

Bonjour,

 

voilà il y a 2 jours, j'ai eu la désagréable surprise de constater que certains de mes fichiers avaient une apparence différence de la normale...

En double-cliquant dessus pour les ouvrir j'obtiens ce message:

 

"XXX was infected with dangerous and destructive spywares; CPS anti-spyware 2.0 deleted XXX from this path on your computer now your system is fully protected.

CPS anti spyware allows you to recover all infected files with 100 guarantee. Purchase full version CPS anti spyware and restore XXX"

 

(...)

 

Je voudrais savoir si il est possible de récupérer ces fichiers. Est-ce que cette boîte commerciale m'a elle-même contaminé ?!!

 

ici le lien qui renvoie à leur produit (avec l'apparence qu'a pris une 20aine de fichiers...

 

Merci à qui peut m'éclairer parce que je ne sais pas ce que je dois faire !

[bruce lee]

bonjour JeanE et bienvenue sur zebulon

 

telecharge la version original de hijackthis http://www.merijn.org/files/hijackthis.zip

 

déconnecte toi du net et installe le et installe le sur ton bureau

 

lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.

[JeanE]

Bonjour bruce lee,

 

d'abord merci pour ta réactivité.

Il est à noter que j'ai fait une réinstallation de win2000 sur un autre disk, parce qu'avant cela impossible d'ouvrir un fichier EXE...

 

Voilà le log:

 

Logfile of HijackThis v1.99.1

Scan saved at 19:13:08, on 09/12/2006

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WINNT\System32\smss.exe

D:\WINNT\system32\winlogon.exe

D:\WINNT\system32\services.exe

D:\WINNT\system32\lsass.exe

D:\WINNT\System32\Ati2evxx.exe

D:\WINNT\system32\svchost.exe

D:\WINNT\system32\spoolsv.exe

D:\WINNT\System32\svchost.exe

D:\WINNT\system32\regsvc.exe

D:\WINNT\system32\MSTask.exe

D:\WINNT\System32\WBEM\WinMgmt.exe

D:\WINNT\system32\Ati2evxx.exe

D:\WINNT\Explorer.EXE

D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

D:\WINNT\System32\internat.exe

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Program Files\Ahead\Nero\nero.exe

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\WINNT\system32\msiexec.exe

D:\Program Files\ToniArts\EasyCleaner\EasyClea.exe

D:\PROGRA~1\WINZIP\winzip32.exe

D:\Documents and Settings\ra\Local Settings\Temp\HijackThis.exe

D:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.recherche.aol.fr/ie.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AOL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - D:\Program Files\AOL Toolbar\toolbar.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIPTA] "D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AOLSAV] D:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] D:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = D:\Program Files\AOL 9.0\aoltray.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - res://D:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - D:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - D:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINNT\System32\Shdocvw.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.aol.fr

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - D:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINNT\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINNT\system32\ati2sgag.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe

[bruce lee]

re,

 

Si durant la procedure ci-dessous, il y a des etapes que tu n'as pas reussi a faire, merci de

continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

 

3/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

4/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

5/supprime ce qui est en gras:

 

D:\WINNT\web\ related.htm<== le fichier

 

 

6/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Re-clique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier est infecté détécté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

7/redemarre en mode normal

 

 

8/ je ne vois pas d'antivirus ni de firewall si tu en as pas:

 

_avast que tu peux telecharger ici: http://www.01net.com/telecharger/windows/U...ches/25899.html

_sa clef (gratuite) a renouveler a peut pres tout les 12 mois (renouvelement gratuit aussi) que tu peux avoir ici: http://www.01net.com/telecharger/windows/U...ches/25899.html

un tuto http://mr.dodo.perso.cegetel.net/tuto04.htm

 

firewall:

 

 

_kerio que tu peux télecharger ici http://www.inoculer.com/firewall5.php3

-tuto pour kerio http://www.vulgarisation-informatique.com/kerio.php

 

telecharge et installe le puis mets le à jour si necessaire.

 

 

9/poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log hijackthis.

 

 

10/Fais un scan en ligne avec http://webscanner.kaspersky.fr/

 

Sous Démonstration en ligne , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner Exécuter l'analyse en ligne .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

NOTE: le scan est a faire avec Internet Explorer

 

@+

[JeanE]

Incroyable! une centaine de trojans et autres joyeuseries découvertes! et pourtant j'avais scanné avec ad-aware sans trouver grand chose

Merci bruce lee; jolis coups de pieds poings qu'on leurs a mis dans les dents

Par contre, est-il possible de retrouver les anciens fichiersmodifiés par CPS anti-spyware 2.0 ??

 

@+

[bruce lee]

bonjour JeanE,

 

Par contre, est-il possible de retrouver les anciens fichiersmodifiés par CPS anti-spyware 2.0 ??

 

Je ne peux pas te dire je ne le possede pas.

 

Poste les differents rapports s'il te plait

 

@+