[Résolu] Ouverture fenêtre intempestive (Gomeo et autres)

[Sangwa]

Bonjour,

 

Il semble que mon pc soit infecté depuis quelques semaines (oui, je ne fais pas dans l'original désolé), le symptôme récurrent étant l'ouverture de fenêtres intempestives lors de la navigation, ou la redirection vers un site non désiré après une recherche sur un moteur de recherche.

 

J'ai bien essayé de me débarrasser tout seul de ce problème afin de ne pas encombrer les forums d'un sujet de plus, mais j'avoue m'avouer vaincu.

 

J'ai installé Malwares btyes, et Combofix. Tous deux ont dégagé des éléments nuisibles. Combofix, lancé avant-hier, a détecté un "rootkit". Malheureusement, après une courte navigation les fenêtres intempestives ont réapparu.

 

Merci de bien vouloir m'indiquer une procédure à suivre, s'il-vous-plaît. J'ai commencé à installer tout ce que je lisais sur les forums pour me débarrasser de ce truc, donc je vais peut-être arrêter de faire n'importe quoi et m'adresser à des gens compétents. Je précise que je poste sur ce forum en suivant le lien donné sur le tutorial de Comboxfix sur bleepingcomputer.com.

 

Je poste à tout hasard le rapport de combofix si cela peut faire gagner du temps, car j'ai vu que c'était demandé régulièrement mais je suis en attente de vos directives si cela ne suffit pas. Merci d'avance à qui pourra me consacrer un peu de temps. Bonne journée

 

Le rapport ci-joint de combofix : Cijoint.fr - Service gratuit de dépôt de fichiers

Modifié le 19 novembre 2010 par Sangwa

[Apollo]

Bonjour,

 

N'utilise jamais ComboFix ou Avenger sans qu'il soit prescrit par un membre qualifié et formé à ces outils, qui supervise les opérations. ComboFix n'est en aucun cas un outil de diagnostic ou à tout faire et ne doit pas être utilisé en aveugle.

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

Cliquer sur Start scan pour lancer l'analyse.

 

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,

vérifier que l'option Cure est sélectionnée, puis cliquer sur le bouton Continue puis sur le bouton Reboot now.

 

Envoyer en réponse:

*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:] .

 

 

++

[Sangwa]

Merci beaucoup pour votre réponse rapide. C'est bien noté pour Combofix, je ne ferai pas l'erreur deux fois.

 

J'ai effectué ces manipulations, un objet malicieux a été trouvé, voici le rapport TDSSKiller : Cijoint.fr - Service gratuit de dépôt de fichiers

[Apollo]

Re,

 

Lorsque les rapports ne font pas 2 km de long, poste-les en clair stp. (on le demande quand ils doivent être hébergés )

 

Le pc a été redémarré après TDSSKiller?

 

2010/11/19 11:18:52.0250 Scan finished

2010/11/19 11:18:52.0250 ================================================================================

2010/11/19 11:18:52.0265 Detected object count: 2

2010/11/19 11:19:31.0437 intelppm (9d40d2b6a1527e6db318e1d05c7c94eb) C:\WINDOWS\system32\DRIVERS\intelppm.sys

2010/11/19 11:19:31.0437 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\intelppm.sys. Real md5: 9d40d2b6a1527e6db318e1d05c7c94eb, Fake md5: ad340800c35a42d4de1641a37feea34c

2010/11/19 11:19:32.0375 Backup copy found, using it..

2010/11/19 11:19:32.0390 C:\WINDOWS\system32\DRIVERS\intelppm.sys - will be cured after reboot

2010/11/19 11:19:32.0390 Rootkit.Win32.TDSS.tdl3(intelppm) - User select action: Cure

2010/11/19 11:19:32.0390 Locked file(sptd) - User select action: Skip

2010/11/19 11:20:13.0421 Deinitialize success

 

--------

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

 

• Double-clique sur RSIT.exe afin de lancer RSIT. Pour XP
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

>>>Héberge les rapports RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.

 

@++

[Sangwa]

Lorsque les rapports ne font pas 2 km de long, poste-les en clair stp. (on le demande quand ils doivent être hébergés

Ok, désolé o_O'

 

Le pc a été redémarré après TDSSKiller?

 

Oui, j'ai bien cliqué sur reboot now, mais cela n'a pas fonctionné. J'ai donc fait un redémarrage manuel (bouton démarrer -arrêter) de la barre des tâches. Le PC a bien rebooté.

 

Et voici les rapports RSIT :

 

Info.txt : http://www.cijoint.fr/cjlink.php?file=cj201011/cijd74446a.txt

Log.txt : http://www.cijoint.fr/cjlink.php?file=cj201011/cijblSuhjq.txt

 

Sinon, pour info, le info.txt ne s'est pas affiché chez moi (introuvable y compris dans la barre des tâches), j'ai lancé RSIT une deuxième fois sans plus de succès. J'ai donc récupéré le fichiers dans SystemDrive\rsit. Peut-être est-ce utile de le préciser dans le message standard que vous délivrez en ajoutant à la fin une phrase du type "Ou récupérez ces deux fichiers dans SystemDrive\rsit" ? Ou pas... Je préfère le préciser pour contribuer même si c'est pas utile, car ça fait vraiment plaisir d'avoir de l'aide comme ça.

[Apollo]

Si tu as un souci pour héberger les rapports, poste le log.txt en clair ou alors héberge-les ici: Free large file hosting. Send big files the easy way! (1er lien fourni à copier/coller).

 

+++

 

EDIT: ok j'ai rien dit

Modifié le 19 novembre 2010 par Apollo

[Sangwa]

Pas de souci Me disais, tiens, j'ai mal enregistré mes fichiers...

[Apollo]

Re,

 

Pour IE:

Va dans Panneau de configuration/Options internet.

Sélectionne l'onglet Connexion puis clique sur le bouton Paramètres réseau.

Dans la nouvelle fenêtre, sous Serveur Proxy, décoche la case Utiliser un serveur Proxy puis clique sur OK autant de fois que nécessaire pour fermer toutes les fenêtres.

 

 

Pour Firefox:

 

Sous Firefox, va dans le menu Outils/Options/Avancé/sélectionne l'onglet Réseau.

Sous la rubrique Connexion, clique sur Paramètres.

Coche la case Pas de proxy puis clique sur OK autant de fois que nécessaire pour fermer toutes les fenêtres.

---------------------------

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ça peut faire échouer la procédure de désinfection !

 

Lance Hijackthis depuis cet endroit: C:\Program Files\trend micro\INSTALL.exe clique sur Do a system scan only puis coche la case devant cette ligne:

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>

 

Ferme toutes les applications ouvertes et les navigateurs et clique sur Fix Checked

 

-----------------------------

Ton antivirus est Avast.

 

Avast n'est pas sûr. Il tarde à mettre à jour sa base virale et laisse passer beaucoup de choses. Résultats: Ton PC est plus vunérable aux nouvelles menaces.

 

Je pense qu'il serait mieux protégé avec Antivir.

 

Antivir est un antivirus gratuit, efficace et léger, maintenant en français, dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection).

 

 

• Si tu es d'accord pour changer, désinstalle Avast par Ajout/Suppression de programmes
  
• Redémarre le PC pour achever la désinstallation
  
• Télécharge installe et paramètre Antivir comme indiqué sur cette page: Télécharger, installer, configurer Antivir (version française)
   
  

 

PS: Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre:

 

 

Antivir te demande ce qu'il doit faire du fichier infecté.

Choisis Déplacer en quarantaine puis clique sur OK.

 

Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

 

Cela permet de ne pas rester à la surveiller.

 

Mets-le à jour puis lance une analyse complète.

Poste le rapport obtenu stp.

 

@++

[Apollo]

Sinon, pour info, le info.txt ne s'est pas affiché chez moi (introuvable y compris dans la barre des tâches), j'ai lancé RSIT une deuxième fois sans plus de succès. J'ai donc récupéré le fichiers dans SystemDrive\rsit. Peut-être est-ce utile de le préciser dans le message standard que vous délivrez en ajoutant à la fin une phrase du type "Ou récupérez ces deux fichiers dans SystemDrive\rsit"

 

C'est exact, les rapports sont toujours enregistrés dans le répertoire C:\RSIT.

 

Je l'ai ajouté dans ma "conserve"; merci

 

@++

[Sangwa]

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!
Ne fais pas l'impasse sur cette étape, car ça peut faire échouer la procédure de désinfection !

 

Je ne peux pas faire cela, à priori, je n'ai pas Spybot dans la barre des tâches. J'ai en effet désinstallé Spybot, ce logiciel faisant partie de mes essais pour me débarrasser de mon problème. Il reste un dossier dans Programs Files nommé "Spybot - Search and Destroy" avec à l'intérieur un exe : TeaTimer.exe. uniquement. Dois-je le lancer ? Le supprimer ?

 

Du coup, j'ai juste désactivé les proxy sur les navigateurs, je préfère attendre tes directives avant de continuer.