Infection rogue "Windows security alert"

[fred24]

Bonjour,

 

la vie est merveilleuse et on en apprend tous les jours. Hier encore, je ne savais pas ce qu'étais un Rogue. Ben maintenant, je le sais.

 

J'ai parcouru les forums et j'ai vu que je n'étais pas le seul. Les symptômes que mon ordi présentent ont déjà été décrits par d'autres utilisateurs :

Tout d'abord 3 icônes de sites pornographiques "porntube.com", "nudetube.com" et "youporn.com" sont sur le bureau et reviennent à chaque démarrage. Puis dans la barre d'outils, parmis les icones se trouvent 3 icones en forme de bouclier émettent un message : "Danger ! A security threat detected on your computer TrojanASPX.JS.Win32 . It Strongly recommended to remove it". De plus une fenêtre Windows security center apparait tout le temps. Bien entendu c'est un virus et je n'ai cliqué nul part.

 

Bref, j'ai du attrapé un virus. Comme cela fait 5 ans que toute la famille surfe sur cet ordi, il ne doit d'ailleurs pas être tout seul mais il est particulièrement invalidant (car il empêche ma femme de travailler).

 

Je n'y connais pas grand chose en informatique mais j'ai fait une analyse avec ZHPDiag dont je vous livre le rapport. Si ça inspirait quelqu'un, ça serait vraiment cool. Comme je n'ai pas trouvé le bouton pour mettre un fichier joint je mets le rapport à la suite. Mais si vous préférez, je peux le mettre sur un serveur et donner le lien.

 

Par avance merci.

 

Fred

 

rapport1

Modifié le 28 octobre 2010 par fred24

[Apollo]

Bonjour,

 

Le pc est lourdement infecté.

 

Note: il ne reste qu'un Go de libre sur 15 sur la partition système; déjà 15 Giga, c'est bien trop peu pour XP, il faudrait au moins une quarantaine de Go pour que le système respire un peu...

 

Note 2: si les rapports sont très longs, les héberger ici stp: Cijoint.fr - Service gratuit de dépôt de fichiers pour ne pas prendre le risque de planter le sujet du forum.

 

A) Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

http://download.bleepingcomputer.com/grinler/eXplorer.exe

http://download.bleepingcomputer.com/grinler/iExplore.exe

 

 

Enregistrer le fichier sur le Bureau.

 

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

 

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

 

Si aucun des outils téléchargés depuis les six liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

 

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

 

-------------------------------

B) Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Malwarebytes Anti-Malware - Reviews and free Malwarebytes Anti-Malware downloads at Download.com

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes Forum -> Malwarebytes' Anti-Malware Support

 

@++

[fred24]

Salut et merci de ton aide.

 

J'ai téléchargé le premier fichier, je l'ai mis sur le bureau, désactivé mon antivirus et j'ai lancé le processus. Ca a duré 3 secondes ==>

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as Fred on 26/10/2010 at 16:45:03.

 

 

Services Stopped:

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\Documents and Settings\Fred\Bureau\eXplorer.exe

 

 

Rkill completed on 26/10/2010 at 16:45:06.

 

J'ai tenté le deuxième lien que tu as donné : c'est le même résultat, rien ne se passe au bout de 3 secondes, ça me dit que le processus est stoppé.

 

Par contre, tu parles de 4 ou 6 liens dans ton message, je n'en vois que deux.

 

Cdt

 

Fred

[Apollo]

Re,

 

cela ne fait rien, je n'en ai donné que deux volontairement.

 

RKill renommé sert juste à stopper des processus et c'est ultra-rapide.

 

Poursuis avec MBAM comme expliqué ce-dessus stp.

 

@++

[fred24]

Bonsoir,

 

j'ai suivi tes conseils Appolo. J'ai installé MBAM, je lance l'analyse. La première fois, il a planté en cours de route car les virus m'éteignent l'ordi au bout de 45 minutes environ.

 

Deuxième scan : 850 éléments infectés. Message de fin de scan je clique sur OK et rien ne se passe. Malware se ferme et je ne peux afficher aucun résultats.

 

Je suis bloqué à ce niveau.

# Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

# Ferme tes navigateurs.

# Si des malwares ont été détectés, clique sur Afficher les résultats.

 

J'ai du merder en quelque part mais je ne vois pas où.

 

Là, il est tard, je reprends demain à la première heure.

 

Fred

[Apollo]

Essaie d'abord une analyse rapide alors.

 

On verra pour le reste après; l'analyse rapide devrait déblayer.

 

Si ça ne marche pas encore on utilisera un autre outil.

 

@++

[fred24]

Salut,

 

malgré l'heure avancée, je viens de me retaper 40 minutes d'analyse complète. Lorsque c'est fini, ça me marque "analyse effectuée cliquer sur afficher les résultats". Lorsque je clique sur OK, ça me ferme la fenêtre m'empêchant d'afficher les résultats.

 

Il me trouve toutefois 873 éléments infectés.

 

Je vais tenter une analyse plus rapide pour voir.

 

Fred

[fred24]

Bon, je viens de passer un coup d'analyse rapide. Il m'en choppe 234 mais le problème demeure intact. Je n'ai plus accès à l'affichage des résultats dès que je clique sur OK.

 

Va falloir passer à autre chose surement.

 

Bonne nuit.

 

Fred

[Apollo]

Re,

 

Oui, mais cela n'est pas très étonnant avec le nombre d'infections présentes sur la machine.

 

Donc on va envoyer un missile; suis les instructions à la lettre et si le rapport est trop long, héberge le stp.

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
   
  
   
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

@++

Modifié le 26 octobre 2010 par Apollo

[fred24]

Bonjour,

 

je n'ai pas pu regarder ce matin mais je vois que tu me proposes l'arme atomique pour traiter le problème. C'est cool. J'ai tout imprimé et je vais faire la manip (non sans crainte) dans la soirée.

 

Je te tiens au courant.

 

En tout cas, merci de ton aide. La situation semble particulièrement grave.

 

@+

 

Fred

 

PS : si je ne suis pas réapparu d'ici demain midi, c'est que j'ai raté une marche.

Modifié le 27 octobre 2010 par fred24