[RESOLU] Infection par MSN

[Marco59]

Bonjour,

 

C'est ma première apparition sur ce forum. J'ai un souci avec mon PC (Vista) suite à une demande d'ajout d'ami sur MSN. Par une mauvaise manip j'ai accepté une des propositions "frauduleuse", résultat Explorer ne démarre plus et j'ai surtout des alertes d'Avast qui m'indiquent des virus...que je mets en quarantaine à tour de bras!

 

J'ai essayé avec MSN Cleaner mais il ne trouve rien

J'ai essayé avec Malwarebytes'Antimalware mais il y a un bug au bout d'environ 15 minutes et mon ordi redémarre... (mais il a eu le temps de trouver 28 fichiers infectés)

 

Bref je ne sais pas quoi faire pour m'en sortir...

 

Merci d'avance de votre aide!

Modifié le 14 février 2011 par Marco59

[bernard53]

Bonsoir et Bienvenu Marco59

 

fait ceci pour voir un peu plus sur ton pc s.t.p

 

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

netsvcs

%SYSTEMDRIVE%\*.exe

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

vstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cijoint.fr - Service gratuit de dépôt de fichiers

[Marco59]

Bonjour,

Si tu peux lancer avast, commence peut-être par programmer un scan au démarrage, ce qui évitera d'avoir à nettoyer sur un système où un(des) malware(s)sont déjà actifs.

TDM

 

Merci de la rapidité de la réponse!

J'ai fait ce scan au démarrage et mis en quarantaine les fichiers infectés. Pour le moment je n'ai pas d'alerte de virus (cheval de troie) mais IE ne se lance toujours pas donc le problème est toujours là...

Merci de ton aide

[Thanos]

salut

 

Marco59, ne t'étonne pas si tu ne vois plus le post de knowmore! L'intervention dans cette section du forum requiert des aptitudes et des connaissances dans le domaine et seules quelques personnes sont habilitées à le faire pour éviter certains problèmes.

 

Pour knowmore: Pour plus d'infos, consulte le topic suivant stp => Fournir de l'aide en désinfection

 

Marco59, continue avec la procédure de bernard53, qui va t'aider à résoudre le problème

 

je vous laisse continuer

[bernard53]

bonjour a tous

 

Merci Thanos

[Marco59]

Merci de l'info je vais faire ça cet aprem!

[Marco59]

Bonjour

 

Voici les liens vers les deux rapports qui sont sortis suite à l'analyse d'OTL :

 

Cijoint.fr - Service gratuit de dépôt de fichiers

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Je suis tout ouïe!!

 

Merci

[bernard53]

ok tu as pas mal d'intrus sur le pc donc ceci s.t.p

 

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL

PRC - C:\Program Files\Windows Searchqu Toolbar\Datamngr\DATAMN~1 .exe (Discordia, LTD)

SRV - (SPService) -- File not found

FF - prefs.js..keyword.URL: "http://www.searchqu.com/web?src=ffb&systemid=402&q="

FF - HKLM\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com: C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions [2010/11/03 20:43:11 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com: C:\Program Files\ClickPotatoLite\bin\10.0.536.0\firefox\extensions [2010/11/03 20:43:18 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com: C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions [2010/11/03 20:43:11 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com: C:\Program Files\ClickPotatoLite\bin\10.0.536.0\firefox\extensions [2010/11/03 20:43:18 | 000,000,000 | ---D | M]

[2010/11/03 20:43:18 | 000,000,000 | ---D | M] (ClickPotatoLite Component) -- C:\PROGRAM FILES\CLICKPOTATOLITE\BIN\10.0.536.0\FIREFOX\EXTENSIONS

[2010/11/03 20:43:11 | 000,000,000 | ---D | M] (ShopperReports) -- C:\PROGRAM FILES\SHOPPERREPORTS3\BIN\3.0.517.0\FIREFOX\FIREFOXTOOLBAR\EXTENSIONS

[2011/01/26 19:23:04 | 000,000,000 | ---D | M] (DataMngr) -- C:\PROGRAM FILES\WINDOWS SEARCHQU TOOLBAR\DATAMNGR\FIREFOXEXTENSION

[2010/10/29 19:50:44 | 000,087,344 | ---- | M] (Pinball Corporation.) -- C:\Program Files\mozilla firefox\plugins\npclntax_ClickPotatoLiteSA.dll

O2 - BHO: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll ()

O2 - BHO: (Interest recogniser for Freecompressor (powered by Spointer)) - {a83c3565-302c-4bf8-b000-6b6f1811d892} - C:\Program Files\FreeCompressor\spointer\extensions\freecompressor_air_ie.dll (Freecompressor)

O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll ()

O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.EXE (Discordia, LTD)

O4 - HKLM\..\Run: [EmpoweringTechnology] File not found

O4 - HKLM\..\Run: [eRecoveryService] File not found

O4 - HKCU\..\Run: [KB3114809.exe] File not found

O9 - Extra Button: ClickPotato - {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} - C:\Program Files\ClickPotatoLite\bin\10.0.536.0\ClickPotatoLiteSABHO.dll (Pinball Corporation)

O20 - AppInit_DLLs: (C:\PROGRA~1\WI9130~1\Datamngr\datamngr.dll) - C:\PROGRA~1\WI9130~1\Datamngr\datamngr.dll (Discordia, LTD)

:Files

C:\ProgramData\Fun4IM

C:\Program Files\Windows Searchqu Toolbar

C:\Program Files\Fun4IM

C:\Program Files\ShopperReports3

:Command

[emptytemp]

* Cliques sur l'icône Correction (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un rapport s'ouvrir "OTL.Txt"

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Cijoint.fr - Service gratuit de dépôt de fichiers

 

 

Ensuite::

 

 

Installe Malewarebytes' Antimalware,

Téléchargement

 

 

 

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

Modifié le 3 février 2011 par bernard53

[Marco59]

Voici le rapport qui s'est affiché après redémarrage...mais qui ne s'appelle pas OTL.txt! J'espère que je ne me suis pas trompé...

Je ne peux pas le passer par cijoint.fr car c'est un .log!

 

All processes killed

========== OTL ==========

No active process named DATAMN~1 .exe was found!

Service SPService stopped successfully!

Service SPService deleted successfully!

File File not found not found.

Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com deleted successfully.

C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\components folder moved successfully.

C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\chrome folder moved successfully.

C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions folder moved successfully.

Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com deleted successfully.

C:\Program Files\ClickPotatoLite\bin\10.0.536.0\firefox\extensions\plugins folder moved successfully.

C:\Program Files\ClickPotatoLite\bin\10.0.536.0\firefox\extensions folder moved successfully.

Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com not found.

File C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions not found.

Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com not found.

File C:\Program Files\ClickPotatoLite\bin\10.0.536.0\firefox\extensions not found.

Folder C:\PROGRAM FILES\CLICKPOTATOLITE\BIN\10.0.536.0\FIREFOX\EXTENSIONS\ not found.

Folder C:\PROGRAM FILES\SHOPPERREPORTS3\BIN\3.0.517.0\FIREFOX\FIREFOXTOOLBAR\EXTENSIONS\ not found.

C:\PROGRAM FILES\WINDOWS SEARCHQU TOOLBAR\DATAMNGR\FIREFOXEXTENSION\content folder moved successfully.

C:\PROGRAM FILES\WINDOWS SEARCHQU TOOLBAR\DATAMNGR\FIREFOXEXTENSION\components folder moved successfully.

C:\PROGRAM FILES\WINDOWS SEARCHQU TOOLBAR\DATAMNGR\FIREFOXEXTENSION folder moved successfully.

C:\Program Files\mozilla firefox\plugins\npclntax_ClickPotatoLiteSA.dll moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ deleted successfully.

C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a83c3565-302c-4bf8-b000-6b6f1811d892}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a83c3565-302c-4bf8-b000-6b6f1811d892}\ deleted successfully.

C:\Program Files\FreeCompressor\spointer\extensions\freecompressor_air_ie.dll moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{7FF99715-3016-4381-84CE-E4E4C9673020} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.

File C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll not found.

Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.

File move failed. C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.EXE scheduled to be moved on reboot.

Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.

Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.

Registry key HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Run not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B58926D6-CFB0-45d2-9C28-4B5A0F0368AE}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B58926D6-CFB0-45d2-9C28-4B5A0F0368AE}\ not found.

C:\Program Files\ClickPotatoLite\bin\10.0.536.0\ClickPotatoLiteSABHO.dll moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\PROGRA~1\WI9130~1\Datamngr\datamngr.dll deleted successfully.

C:\PROGRA~1\WI9130~1\Datamngr\datamngr.dll moved successfully.

========== FILES ==========

C:\ProgramData\Fun4IM folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\components folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\searchbar folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\options folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib\weatherbutton\panels\images folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib\weatherbutton\panels folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib\weatherbutton\icons folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib\weatherbutton folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib\uwa folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib\radio\images folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib\radio\css folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib\radio folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib\panels\images folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib\panels\css folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib\panels folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin\lib folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\skin folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\content\widgets\net.vmn.www.3.YouTube.1217 folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\content\widgets\net.vmn.www.3.Twitter.1257 folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\content\widgets\net.vmn.www.3.Twitter.1255 folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\content\widgets\net.vmn.www.3.Twitter.1227 folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\content\widgets folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\content\modules folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\content\lib folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\content\data\search folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\content\data folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome\content folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar\chrome folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\ToolBar folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar\Datamngr folder moved successfully.

C:\Program Files\Windows Searchqu Toolbar folder moved successfully.

C:\Program Files\Fun4IM\Resources folder moved successfully.

C:\Program Files\Fun4IM\Plugins\Yahoo\Resources\Toolbar\Images folder moved successfully.

C:\Program Files\Fun4IM\Plugins\Yahoo\Resources\Toolbar folder moved successfully.

C:\Program Files\Fun4IM\Plugins\Yahoo\Resources\HTML folder moved successfully.

C:\Program Files\Fun4IM\Plugins\Yahoo\Resources folder moved successfully.

C:\Program Files\Fun4IM\Plugins\Yahoo folder moved successfully.

C:\Program Files\Fun4IM\Plugins\MSN\Resources\Toolbar\Images folder moved successfully.

C:\Program Files\Fun4IM\Plugins\MSN\Resources\Toolbar folder moved successfully.

C:\Program Files\Fun4IM\Plugins\MSN\Resources\HTML folder moved successfully.

C:\Program Files\Fun4IM\Plugins\MSN\Resources folder moved successfully.

C:\Program Files\Fun4IM\Plugins\MSN folder moved successfully.

C:\Program Files\Fun4IM\Plugins\IE\Resources\HTML folder moved successfully.

C:\Program Files\Fun4IM\Plugins\IE\Resources folder moved successfully.

C:\Program Files\Fun4IM\Plugins\IE folder moved successfully.

C:\Program Files\Fun4IM\Plugins folder moved successfully.

C:\Program Files\Fun4IM folder moved successfully.

C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox\firefoxtoolbar folder moved successfully.

C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox folder moved successfully.

C:\Program Files\ShopperReports3\bin\3.0.517.0 folder moved successfully.

C:\Program Files\ShopperReports3\bin folder moved successfully.

C:\Program Files\ShopperReports3 folder moved successfully.

Error: Unable to interpret <:Command> in the current context!

Error: Unable to interpret <[emptytemp]> in the current context!

 

OTL by OldTimer - Version 3.2.20.6 log created on 02032011_135244

 

Files\Folders moved on Reboot...

File\Folder C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.EXE not found!

 

Registry entries deleted on Reboot...

 

 

 

Je lance Malewarebyte's...

[Marco59]

Le scan de malwarebyte's antimalware s'est interrompu en cours de route et a fait redémarrer mon PC qui m'a proposé un redémarrage en mode sans échec. Je ne l'ai pas fait mais bon, ça veut dire que y a un pb!

Déjà, avant d'intervenir sur le forum j'avais utilisé ce logiciel et ça avait donné le même résultat...il ne va pas au bout de son scan, il bug avant la fin.

 

Merci de ton aide