[RESOLU] Aide contre "Digital Protection"

[inbearsuits]

Bonjour,

 

J'ai été hier infecté par Digital Protection et Windows Security Center.

 

J'ai vu, plus avant, que vous aviez aidé un internaute à se débarrasser de cette saloperie (http://forum.zebulon.fr/resoluaide-pour-eradiquer-malware-digital-protection-t175709.html).

 

Je vais vous faire un récapitulatif de ma situation en essayant d'être le plus précis possible (je suis pas un génie de l'informatique, donc excusez-moi si je pèche par ignorance parfois) :

 

Je suis sous Windows XP

 

Hier soir :

 

Je suis infectés par les deux malwares sus-dit. Ils essaient de désinstaller AVG, ce que j'arrive à stopper.

 

Je tente une analyse contextuelle du dossier C:\Program Files\Digital Protection par AVG, qui ne détecte rien de suspect.

 

Impossible de le supprimer par la désinstallation de logiciel dans le panneau de config. Bien entendu le Desinstall.exe qui se trouve dans le dossier ne sert à rien à part à faire joli.

 

Impossible aussi d'atteindre le gestionnaire des tâches par le raccourci Ctrl+ Alt+Suppr : une fenêtre contextuelle apparaît me disant que "l'Administrateur" (c'est pas censé être moi l'administrateur nom d'une pipe !? Jusqu'à preuve du contraire, SI !) a désactivé cette fonction. Impossible d'arrêter les deux programmes donc.

 

J'essaie de supprimer le dossier qui est dans Program Files mais les trois fichiers majeurs (digprot.exe, digext.dll, dighook.dll) refusent de disparaître : normal, le logiciel est en cours d'utilisation !

 

Ce matin :

 

Je tombe sur votre forum et sur la discussion dont j'ai copié le lien précédemment.

 

J'ai suivi les deux premières étapes, c'est-à-dire :

 

- Télécharger Rkill de Grinler et créer un rapport

 

- télécharger MBAM, la dernières mises à jour et lancer une analyse. De l'analyse ressort que j'ai 18 fichiers contaminés. Même problème que pour la personne concernée par la discussion dont je me suis inspiré, quand je clique sur OK MBAM se ferme, sans créer de rapport.

Là, j'ai remarquer que les deux Rogues avaient arrêté de fonctionner : j'ai été dans Program Files et j'ai supprimé le fichier "Digital Protection". Ai-je bien fait ? Je n'en suis pas sûr.

 

J'en suis resté là et suis parti au travail. Je retrouverai mon ordi ce soir.

Pouvez-vous, svp, m'aidez à me débarrasser définitivement de ces m#!des ?

Modifié le 2 mai 2010 par inbearsuits

[pear]

Bonjour,

Je vais essayer de vous aider, mais ne prenez aucune initiative.

 

 

Téléchargez les logiciels suivants pour les lancer l'un après l'autre.

Vous en posterez les rapports ensuite, en fin de procédures

 

Télécharger load_tdsskiller de Loup Blanc sur le Bureau

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lancer load_tdsskiller en double-cliquant dessus :
  l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  
• Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
  
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
  (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Redémarrer le PC
  

 

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

Modifié le 30 avril 2010 par pear

[inbearsuits]

Merci à vous.

 

Premier problème avec tdsskiller, il ne m'affiche pas de rapport, juste une page txt vide, intitulée Sans Titre, qui n'est pas enregistrée sous C: (introuvable dans le dossier que vous m'avez indiqué). J'ai retenté 4 fois.

 

La fenêtre d'invite de commande indique par ailleurs 0 objets infectés.

[pear]

Ce n'est pas un problème.

Cela signifie seulement qu'il n'a pas trouvé d'infection à traiter.

Faites la suite, svp.

[inbearsuits]

Rapport rkill :

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as Pierre on 01/05/2010 at 12:51:20.

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\Documents and Settings\Pierre\Bureau\rkill.com

 

 

Rkill completed on 01/05/2010 at 12:51:24.

[inbearsuits]

Rapport MBAM :

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4056

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

01/05/2010 13:36:16

mbam-log-2010-05-01 (13-36-16).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)

Elément(s) analysé(s): 203849

Temps écoulé: 33 minute(s), 50 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 10

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 2

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 15

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pragmaidetnbvspj (Trojan.DNSChanger) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\pragma (Rootkit.TDSS) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\PRAGMA (Rootkit.TDSS) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Digital Protection (Rogue.DigitalProtection) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Digital Protection (Rogue.DigitalProtection) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\digital protection (Rogue.DigitalProtection) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

C:\WINDOWS\PRAGMAidetnbvspj (Trojan.DNSChanger) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\WINDOWS\PRAGMAidetnbvspj\PRAGMAd.sys (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\WINDOWS\PRAGMAidetnbvspj\PRAGMAc.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\Documents and Settings\Pierre\Local Settings\Temp\asd4.tmp.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\Documents and Settings\Pierre\Local Settings\Temporary Internet Files\Content.IE5\AVY3YLQZ\n002102807r000cJ11000601R75c8b130X946a8f8aYdfb33452Z03003f36316P000000070[1

] (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{3C947B5C-5CCF-4E7A-B553-A02A36F57E78}\RP466\A0134355.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{3C947B5C-5CCF-4E7A-B553-A02A36F57E78}\RP466\A0134356.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\WINDOWS\PRAGMAidetnbvspj\PRAGMAcfg.ini (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Application Data\pragmamfeklnmal.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Documents and Settings\Pierre\Local Settings\Temp\pragmamainqt.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\pragmamainqt.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Documents and Settings\Pierre\Local Settings\Temp\PRAGMA3e8d.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Favoris\_favdata.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Application Data\fiosejgfse.dll (Rogue.Trace) -> Quarantined and deleted successfully.

C:\Program Files\FlybabyBETA.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\Program Files\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.

[pear]

Ca parait bon.

 

On vérifie:

 

Scan en ligne

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

Désactiver l'antivirus actuel

Vous devez désactiver vos protections et ne savez pas comment faire

Sur PCA,En Français

Notez que ce scan examine , mais ne désinfecte pas

Kaspersky

Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as...

Choisir bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

 

[inbearsuits]

Ca ne fonctionne pas : c'est extrèmement lent, Explorer rame comme j'ai rarement vu et en plus à chaque fois que Kaspersky arrive au téléchargement des updates, une fenêtre apparaît me disant que ma connection Java a été interrompue et que je dois utiliser une connection ininterrompue...

 

Que dois-je faire ?

[pear]

Laissez Kaspersky et lancez Antivir en mode sans échec:

Télécharger l' Edition en Français d' Avira AntiVir

 

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

....AntiVir ne laisse pas entrer Bagle, sauf si l'utilisateur lui force la main pour récupérer un crack

 

Paramètres conseillés

Clic droit sur le parapluie--------------------->Configurer Antivir

Cliquer Expert mode--------------------------->Recherche:

Cocher: ------------->Selection intelligente des fichiers

Ce réglage est activé par défaut et recommandé.

 

Autres réglages:--->tout cocher

-Recherche+

Action en cas de résultat positif:

Cocher--------------->:Copier le fichier dans la quarantaine avant l'action:

Action principale....>: Réparer ( au cas ou ce serait un fichier système corrompu)

Action secondaire..>: Supprimer ( s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine)

Désactivez votre antivirus actuel

Redémarrez en mode sans échec.

Lancez le scan

Postez le rapport

 

Antivir Mises à jour Manuelles:

[elnino]

bonsoir,

je suis toujours infecté par Digital Protection et Windows Security Center.

jé suivi les memes démarches conseillés à inbearsuits .

la je suis en train de faire le scan avec MBAM.

Si quelquin peut m'aider ca serait tres gentil