[Résolu] Navigateurs internet infectés.

[Apollo]

Re,

 

Il est évident que c'est un rogue.

 

Je me demande si tu as bien fait une analyse complète avec Kaspersky et pas une rapide (qui ne sert pas à grand-chose).

 

Pour commencer fais cette analyse:

 

Télécharge TDSSKiller.zip de Kaspersky sur ton bureau.

 

Décompresse-le. (clic droit/extraire ici).

 

Besoin d'un utilitaire de décompression? 7Zip

 

Télécharger le fichier non-compressé: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

 

Ouvre le dossier si la décompression a donné un répertoire TDSSKiller.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

 

Cliquer sur Start scan pour lancer l'analyse.

 

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,

vérifier que l'option Cure est sélectionnée, puis cliquer sur le bouton Continue puis sur le bouton Reboot now.

 

Envoyer en réponse:

*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:] .

 

------------------------------------------------

Tu vas relancer MBAM, bien mis à jour auparavant.

Si ça ne suffisait pas on utiliserait un outil beaucoup plus puissant

 

Désinstalle MBAM si tu l'as toujours. Un redémarrage sera nécessaire.

 

Redémarre encore une fois mais cette fois en mode sans échec avec prise en charge du réseau Comment démarrer Windows en mode sans échec : Astuces communes aux 2 systèmes XP et Vista

 

Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

 

Lien 2

Lien 3

Lien 4

 

http://download.bleepingcomputer.com/grinler/eXplorer.exe

http://download.bleepingcomputer.com/grinler/iExplore.exe

 

 

Enregistrer le fichier sur le Bureau.

 

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

 

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

 

Si aucun des outils téléchargés depuis les six liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

 

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

 

-------------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Malwarebytes Anti-Malware - Reviews and free Malwarebytes Anti-Malware downloads at Download.com

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes Forum -> Malwarebytes' Anti-Malware Support

Modifié le 2 octobre 2010 par Apollo

[oliver07]

Bonjour,

 

Oui j'ai bien fait une analyse complète avec KAV, ça a durée presque 3 heures!

 

Donc il s'agit bien de 'restes' du rootkit W32/TDSS dont j'ai été la victime il y a quelques semaines!!!

D'ailleurs pour m'en débarrasser, j'avais déjà utilisé les outils TDSSKiller et MBAM que tu préconise.

Maintenant ils ne trouvent plus rien!

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Maintenant j'ai un problème pour mettre à jour MBAM que je viens de réinstallé depuis le mode sans échec.

Il y a une erreur qui s'affiche lors du téléchargement depuis l'application, et le lien que tu indique ne donne rien ( page inaccessible! ).

J'ai donc pas pu faire un scan avec MBAM.

 

J'ai utilisé rkill (de Grinler) en mode sans échec comme indiqué, et voici le rapport:

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as Olivier on 02/10/2010 at 11:29:29.

 

 

Services Stopped:

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\Documents and Settings\Olivier\Bureau\rkill.scr

 

 

Rkill completed on 02/10/2010 at 11:29:31.

 

 

Le problème existe toujours... bref je suis pas sortie de l'auberge

 

 

Autre info, j'ai un second PC sur mon réseau ( connecté en wifi sur un modem-routeur NETGEAR Wireless-G 54 ) qui a aussi les mêmes symptômes !... pas cool!

 

Olivier

[Apollo]

Bonjour,

 

Pour le second pc, il faudra créer un nouveau sujet pour ne pas s'emmêler les pinceaux.

 

Le lien pour les mises à jour fonctionne mais si tu veux, tu peux essayer en mode normal et faire les mises à jour depuis le logiciel lui-même (MBAM).

 

Tu avais choisi le mode sans échec avec prise en charge du réseau?

 

RKill ne montre rien sinon lui-même.

 

Le fichier de mises à jour hébergé par mes soins: enregistre-le sur le bureau avant de l'exécuter.

Download mbam-rules.exe from Sendspace.com - send big files the easy way

 

@++

[oliver07]

Re,

 

J'ai réussis à mettre à jour MBAM grâce à ton archive.

L'analyse complète ne trouve rien: Cijoint.fr - Service gratuit de dépôt de fichiers

La seule fois où il avait trouvé des choses c'était il y a quelques semaines:

Cijoint.fr - Service gratuit de dépôt de fichiers

Cijoint.fr - Service gratuit de dépôt de fichiers

Ces éléments nuisibles sont toujours en quarantaine dans MBAM !

 

Les derniers éléments restant et encore actif sont vraiment bien cachés on dirait !

 

Olivier

[Apollo]

Re,

 

N'héberge de rapports que si je le demande stp, sinon poste-les en clair pour l'historique du forum, merci.

 

Regarde si tu ne trouves pas de fichiers de ce genre sur ton disque et si oui, liquide-les.

 

%UserProfile%\Application Data\4946550101\4946550101.exe

%UserProfile%\Application Data\4946550101\4946550101.bat

 

Ces dossiers sont cachés par défaut. Il faut donc les découvrir.

Afficher les dossiers/fichiers cachés sous XP

 

De même si tu remarques un processus de cet acabit dans le gestionnaire des tâches, arrête-le.

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

@++

[oliver07]

Re,

 

Je n'ai trouvé aucun fichier du type indiqué à supprimer ni processus en route.

 

L'analyse par Combofix c'est bien passé, sans problème de connexion après.

Voici le rapport:

Cijoint.fr - Service gratuit de dépôt de fichiers

 

A+

Olivier

[Apollo]

Il n'a pas trouvé des masses d'infections.

 

Ben tant mieux s'il n'a pas bouzillé la connexion, car ça arrive parfois

 

Qu'en est-il de ton problème?

 

@++

[oliver07]

Re,

 

Depuis le passage de combofix, il semblerait que je n'ai plus ces redirection vers les pages de téléchargement d'un soit-disant antivirus !!!

C'est à confirmer, mais ça à l'air d'être bon!

 

Mille merci pour ton aide Apollo !

A+

Olivier

[Apollo]

J'espère comme toi que c'est réglé définitivement.

 

Cette infection doit être récente si MBAM n'y a vu que du feu; mais ils sont vite renseignés, ce sont de très grands chercheurs là-bas.

Cela devrait s'arranger à court terme.

 

Idem pour Kaspersky.

 

Désinstalle ComboFix de la manière suivante:

 

Clique sur Démarrer > Exécuter et copie/colle le texte en gras ci-dessous dans la zone de saisie Ouvrir puis cliquer sur OK

 

ComboFix /Uninstall

 

Supprimer les dossiers c:\Qoobox et c:\ComboFix s'ils étaient encore présents sur le C:\

Vider la corbeille.

 

Si cela ne fonctionne pas avec la commande à cause de l'exe renommé, il te suffira de mettre l'icône du bureau et le dossier Qoobox à la corbeille puis vider celle-ci.

 

Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
   
  Double-clique ATF-Cleaner.exe afin de lancer le programme.
  --> Sous Vista/Seven: Clic droit/exécuter en temps qu'administrateur.
   
  Sous l'onglet Main, choisis : Select All
  Cliquer sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

-------------------------

Télécharge OTC d'Old Timer :

http://oldtimer.geekstogo.com/OTC.exe

Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux.

 

-----------------------------------

Afin de ne pas remonter par mégarde un point infecté:

Désactiver la Restauration Système.

 

Démarrer/Tous les programmes/Accessoires/Outils Système/

 

Cliquer sur Restauration Système.

 

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

 

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

 

Un nouveau point de restauration sera automatiquement créé.

 

-----------------------------------

Lutte antimalware-Infos

 

*** Il serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints

Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.

 

• Voir les règles de Malware-Complaints : http://www.malwarecomplaints.info/phpBB3/viewtopic.php?t=5
   
  
• Enregistre toi sur le forum à partir du bouton register en haut :
   
  
• Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, etc..) :
  Exemple pour la France: http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10
   
  Belgique:
  Malware Complaints • View forum - La Belgique (Belgium-French Speaking)
   
  Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection Rogue non-encore déterminé...
   
  
• Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
  NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.
   
  NB: Si tu as de la difficulté pour l'inscription sur Malware Complaints, tout est expliqué ICI
   
  

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie A vérifier de temps en temps, important!

 

Quand tu seras certain que tout est ok,

 

• Pense à éditer ton premier post pour ajouter "Résolu" dans le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

 

Utilise pour ça, l'éditeur complet

 

[oliver07]

Bonjour,

 

Hier après combofix, en testant la navigation, j'ai pas eu de problème, mais j'ai pas beaucoup surfé faut dire!

 

Ce matin, j'ai pas de bonnes nouvelles...

J'ai navigué un peu, c'était bon...

J'ai voulu voir ce que ça donnait avec google, et j'ai constaté que j'avais toujours cette différence de résultat sur une même recherche entre IE et Firefox!!!

J'ai cliqué sur les résulats naturelles, pas de problèmes on va sur les bons sites!

J'ai essayé sur les liens commerciaux de google, et là la cata... tout est redirigé vers d'autre sites, en passant par une page intermédiaire disant 'Your request is loading...' et 'If you are not redirected within 2 seconds click here to continue'... et après j'arrive t'importe où sauf sur la cible !... un autre moteur de recherche (en anglais, ou même Yahoo des fois), des annonces pub à cliquer en anglais, etc...

J'ai fais le test sur Yahoo, c'est pareil pour les liens commerciaux!... et des fois j'arrive sur Google.fr !!

Par contre les résultats naturels fonctionnent correctement et sont identique sur IE et Firefox !!

 

Maintenant quand je navigue c'est comme avant ( pop-up wordsfife.com, page qui reste blanche, redirection et invitation à télécharger un antivirus !!! )... Bref le cauchemar continu de plus bel !

 

Que faire...

Mon PC Dell permet une restauration complète du system, comme à l'origine.

Mais après il me faut tout réinstaller les applications et faire les mises à jour windows et compagnie...

J'ai pas envie d'en arrivée là, et en plus je suis pas sûr que ça marche vraiment vu qu'il n'y a pas de formatage du disque dur!

 

Olivier

 

 

 

 

 

tout est redevenu comme avant, pop-up wordslife.com, redirection