question sur logiciels indésirables??

[Ena]

Bonjour!

 

Trop de travail ces derniers temps le boulot sur mon ordi est resté en suspens...

 

malheureusement aujourd'hui j'ai un message (bulle) de windows qui n'arrête pas d'apparaître (petite croix rouge à gauche du parapluie antivir) et qui me dit en anglais

que mon ordi est infecté d'un spyware, que je dois cliquer pour installer un anti-spyware. Dois-je le faire?

 

L'ordi a redémarré trois fois tout seul puis j'ai éteint et là j'espère avoir le temps de terminer une analyse...

 

j'ai fait une analyse, 17 objets infectés ont été trouvés, je les ai mis en quarantaine sauf 2 que j'ai supprimés

 

après cela impossible de chercher une adresse dans google sans être redirigée vers une autre page.

 

Qu'ai-je de mieux à faire maintenant?

 

Peut-on reprendre ce que nous avions commencé la dernière fois?

 

Merci...

 

Ena

Modifié le 6 novembre 2008 par Ena

[Apollo]

Bonjour,

 

C'est une infection, il ne faut surtout pas toucher à ce faux logiciel car c'est une arnaque pure et simple visant à te voler de l'argent.

 

Si tu as déjà MBAM ne le retélécharge pas mais mets le bien à jour et suis les instructions à la lettre.

 

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à être redémarré, redémarre le pc.

 

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

 

@+ tard.

[Ena]

je rencontre à nouveau le même problème qu'en fin de page 1 c'est à dire un message d'échec à la mise à jour de mbam que le parefeu soit activé et mbam autorisé comme exception ou que le pare-feu du centre de sécurité windows soit désactivé n'y change rien.

 

Dans la fenêtre "exceptions" du parefeu il y a un onglet "modifier" avec un message "vous pouvez autoriser la communication avec ce programme (mbam) à partir de n'importe quel ordi., y compris ceux se trouvant sur Internet ou votre réseau" -> le faire a t'il une utilité dans mon cas? ou ça n'a rien à voir?

(je cherche à comprendre pourquoi les mises à jour sont impossibles chez moi...)

Modifié le 6 novembre 2008 par Ena

[Apollo]

Poste un log Hijackthis stp.

 

Ton firewall xp est sûrement actif; si tu as un autre firewall tu dois non seulement le désactiver (celui de windows) mais aussi arrêter son service par exécuter taper services.msc

 

@+

[Apollo]

Ok fais ça puis lance l'analyse:

 

Mises à jour + récentes pour MBAM

 

++

[Ena]

Je n'ai pas d'autres Firewall à ma connaissance ( si ce n'est des traces de securitoo antivirus firewall que j'ai résilié )

De plus je ne peux télécharger la version récente de mbam que tu me proposes, au lieu du lien j'ai une petite fenêtre avec une croix...

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:37:15, on 07/11/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UStorSrv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Wanadoo\GestionnaireInternet.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &~Google search - {8B0974BE-F10B-4492-B8E3-ED23B950B034} - C:\WINDOWS\system32\gdband.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - .DEFAULT User Startup: VAIO Launcher.lnk = C:\Program Files\Sony\VAIO Launcher\Launcher.exe (User 'Default user')

O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Transfert par Image Converter 2 - C:\Program Files\Sony\Image Converter 2\menu.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll (file missing)

O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/fr/

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O20 - AppInit_DLLs: karna.dat

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

 

--

End of file - 5624 bytes

Modifié le 7 novembre 2008 par Ena

[Apollo]

Re,Alors laisse celui de Windows activé.

 

:arrow: Télécharge SDFix de AndyManchesta et sauvegarde le sur ton Bureau.

:att: Si le lien ne fonctionne pas, essaie ceux-ci :

• http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
  
• http://sdfix.net/SDFix.exe
  

• Double clique sur SDFix.exe pour lancer l'installation. L'outil sera extrait à la racine du lecteur système (généralement le C:\).
  En fin d'installation, une fenêtre du Bloc-notes s'ouvre pour afficher le contenu du fichier Installed.txt. Ferme cette fenêtre du Bloc-notes.
   
  
• Redémarre ton ordinateur en mode sans échec. Pour démarrer en mode sans échec.
  Tu choisis ton nom d'utilisateur pour ouvrir la session.
   
  
• Ouvre le dossier SDFix qui vient d'être créé à la racine du disque système (généralement C:\) et double clique sur RunThis.bat pour lancer l'exécution de l'outil.
   
  
• Appuie sur Y puis sur la touche <Entrée> pour commencer le processus de nettoyage.
   
  
• Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.
   
  
• SDFix va supprimer les services et les entrées du Registre de certains troyens trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  Appuie donc sur une touche.
   
  
• Ton système sera plus long pour redémarrer que d'habitude car l'outil va continuer à s'exécuter et supprimer des fichiers.
   
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
   
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
   
  
• Une fois les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt (C:/SDFix/Report.txt). Il faudra coller ce rapport dans ta prochaine réponse.
  

 

Poste également un nouveau log Hijackthis après le redémarrage du pc et la fin du travail de l'outil stp.

 

++

[Apollo]

Voilà,

 

tu peux récupérer l'exe de mises à jour de MBAM ICI

 

Décompresse-le sur le bureau puis exécute le fichier.

 

MBAM sera mis à jour mais pas avec les toutes dernières bases, mais c'est déjà ça.

 

@++

[Ena]

on me demande un mot de passe compte utilisateur pour executer la mise à jour pour mbam. L'accès est refusé et je ne sais pas où se trouve ce mot de passe. J'ai le souvenir que je n'avais pas rentré de mot de passe lors des premières mises en route de l'ordinateur...

 

En attendant puis-je tout de même télécharger SDfix? ( j'ai gardé smitfraudfix de la dernière fois...)

[Ena]

Bonsoir

 

Finalement j'ai pu executer la mise à jour. J'espère avoir procédé dans le bon ordre! A quoi sert Sdfix? dois-je bien le télécharger maintenant? Voilà le rapport mbam:

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1244

Windows 5.1.2600 Service Pack 3

 

10/11/2008 21:15:19

mbam-log-2008-11-10 (21-15-19).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 126366

Temps écoulé: 42 minute(s), 38 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 2

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 10

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\wini10806.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\TDSSlbqp.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSSnrse.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSSoeqh.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSSoeqh.log (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\TDSSoiqh.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSSosvn.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\drivers\TDSSpqlt.sys (Rootkit.Agent) -> Delete on reboot.

Modifié le 10 novembre 2008 par Ena