[RESOLU] INFECTION Redirections intempestives

[Sebest]

Bonjour,

 

J'ai été malheuresement infecté par ma clé USB par un rootkit ou autre.ça affecte IE8 et Firefox, où à chaque fois que je clique sur un lien ça m'ouvre une nouvelle fenetre Wordslife,Antivirus 2010 ou after.php qui essaye d'etre telechargé sans y reussir.

J'ai aussi des addresses qui depuis cette infection ne s'affichent plus.

 

Je solicite votre aide en vous remerciant pas avance.

 

Pour indication je tourne sur Windows 7 en version Ultimate (emulateur XP)

Modifié le 9 octobre 2010 par Sebest

[Sebest]

Cela s'empire, tous les liens cliquables me redirigent vers adresse type 255.185.... et me lance un download qui se plante juste apres.

Et j'ai de plus en plus de pages web qui ne s'affichent plus.

[Apollo]

Bonjour,

 

Désolé pour le délai mais comme tu peux voir, il n'y a pas beaucoup de helpers dispo; ils doivent être à Hawaï ou je ne sais où moi. (je blague)

 

Redémarre le pc en mode sans échec avec prise en charge du réseau. Comment démarrer Windows en mode sans échec : Astuces communes aux 2 systèmes XP et Vista

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
   
  
   
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

@++

Modifié le 5 octobre 2010 par Apollo

[Sebest]

haaa ya un soucis,je suis en 64bits

[Apollo]

Aaah là, évidement c'est impossible d'utiliser ComboFix.

 

Qui a dit que les 64 Bits étaient plus sûrs que les 32? Mon œil, oui! C'est encore plus difficile à désinfecter.

 

Si tu te souviens de la date d'apparition de cette merde, essaie de faire une restauration système 2-3 jours avant. (en mode sans échec si ça coince en mode normal).

Comment faire une restauration système sous Windows Vista : Astuces pour dépanner Vista et Seven

 

Restauration système à une date antérieure – Windows 7 | Forum-Seven

 

Restaurer Windows XP vers un état antérieur

 

Si la restauration fonctionne, poursuivre immédiatement avec ce qui suit:

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Malwarebytes Anti-Malware 1.46 - TechSpot Downloads

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide."
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes Forum -> Malwarebytes' Anti-Malware Support

[Sebest]

J'ai bien téléchargé Mbam mais la page des mises à jour demeure introuvable.Et une erreur se produit dans MBAM pour la mise à jour aussi.

Modifié le 5 octobre 2010 par Sebest

[Apollo]

Télécharge le fichier d'update là Download mbam-rules.exe from Sendspace.com - send big files the easy way

 

Descends dans la page et tu verras la flèche qui danse le mambo.

 

Enregistre-le sur ton bureau puis exécute-le.

MBAM sera à jour ou presque.

 

@++

[Sebest]

Pour l'instant rien à changer.Perseverons:super:

 

-----------------------------------

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4700

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

05/10/2010 17:38:22

mbam-log-2010-10-05 (17-38-22).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 140609

Temps écoulé: 16 minute(s), 32 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Users\Seb\AppData\Local\Temp\B2CA.tmp\Adobe_CS5_Activator.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

C:\Program Files\dte_wrapper.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\Users\Seb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mel.bat213921.bat (Trojan.Agent) -> Quarantined and deleted successfully.

 

 

 

[Apollo]

Pour l'instant rien à changer.Perseverons:super

 

Tu as toujours les problèmes du début?

 

La restau n'a rien arrangé?

 

@++

[Sebest]

 

 

 

sur une page blanche qui a fini de charger.