internet explorer piégé[résolu par Apollo]

[yttria]

Je me suis encore fait déranger. Ca devient tanant à force.

 

"Par contre, installpedia est un adware installé par l'utilisateur (qui ne se doute pas qu'il s'agit d'un générateur de spam) qui installe un module complémentaire pour contourner les limites de téléchargements sur MegaUpload, soit un piège pour ceux qui vont télécharger des films (par exemple) de façon illégale...

 

Conduit vient d'un truc comme Emule ou autres P2P."

 

Punaise, ça vaut le coup de prendre des risques... Bon, passons.

Je fais les manips et je re en éditant ce message.

 

EDIT : est-ce que ATF cleaner va effacer TOUS ses mots de passe...?

C'est pas que je lui fasse confiance, mais...

Modifié le 30 mars 2011 par yttria

[Apollo]

Si tu édites, je n'aurais pas de notification mail et tu pourrais attendre...

 

Bah, si ATF ne plaît pas: (Il ne m'efface jamais mes mdp moi mais il faut réagir aux questions qu'il pose. Il existe aussi des programmes pour retenir ses mdp: Download PCSafe.zip from Sendspace.com - send big files the easy way

 

explications: Apollo Et Compagnie Fini de dire "j'ai oublié mon mot de passe"!

 

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

 

 

------

 

Lance alors MBAM comme expliqué plus haut.

 

@++

[yttria]

Re. j'ai laissé faire et mangeai quand-même.

 

Le rapport :

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 6218

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

30/03/2011 21:25:15

mbam-log-2011-03-30 (21-25-15).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 311182

Temps écoulé: 59 minute(s), 20 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 21

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP517\A0299518.exe (Adware.InstallPedia) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP517\A0299519.exe (Adware.InstallPedia) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP517\A0299521.exe (Adware.InstallPedia) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP517\A0299523.dll (Adware.InstallPedia) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP517\A0299561.dll (Adware.InstallPedia) -> Quarantined and deleted successfully.

C:\Program Files\Ad-Remover\Quarantine\C\WINDOWS\system32\Utils.dll.vir (Adware.InstallPedia) -> Quarantined and deleted successfully.

C:\Program Files\Steam\steamerrorreporter.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\lnetworker.exe.VIR (Adware.InstallPedia) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\service.exe.VIR (Adware.InstallPedia) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\InstallPedia.DIR\networker.exe (Adware.InstallPedia) -> Quarantined and deleted successfully.

C:\Program Files\ZHPDiag\Quarantine\InstallPedia.DIR\Utils.dll (Adware.InstallPedia) -> Quarantined and deleted successfully.

D:\Documents and Settings\Alexis\Local Settings\Application Data\assembly\dl3\EKPLCD22.DT4\9VR966NJ.TAT\50eed5e0\00a61936_f353cb01\networker.EXE (Adware.InstallPedia) -> Quarantined and deleted successfully.

D:\Documents and Settings\Alexis\Local Settings\Application Data\assembly\dl3\EKPLCD22.DT4\9VR966NJ.TAT\c7a003e7\00d34a37_f353cb01\Utils.DLL (Adware.InstallPedia) -> Quarantined and deleted successfully.

D:\Documents and Settings\CHRIS\Local Settings\Application Data\assembly\dl3\RYY2HRE9.B22\YK4MNV8W.0NO\84ef51a9\00d34a37_f353cb01\Utils.DLL (Adware.InstallPedia) -> Quarantined and deleted successfully.

D:\Documents and Settings\CHRIS\Local Settings\Application Data\assembly\dl3\RYY2HRE9.B22\YK4MNV8W.0NO\c925293b\00a61936_f353cb01\networker.EXE (Adware.InstallPedia) -> Quarantined and deleted successfully.

D:\Documents and Settings\Clément\Local Settings\Application Data\assembly\dl3\7DHZJNPY.01R\A4B2GEK8.TN3\0aebc449\00a61936_f353cb01\networker.EXE (Adware.InstallPedia) -> Quarantined and deleted successfully.

D:\Documents and Settings\Clément\Local Settings\Application Data\assembly\dl3\7DHZJNPY.01R\A4B2GEK8.TN3\6ec92d89\00d34a37_f353cb01\Utils.DLL (Adware.InstallPedia) -> Quarantined and deleted successfully.

D:\Documents and Settings\Invité\Local Settings\Application Data\assembly\dl3\9NPOR7W8.MC3\5VJG7AM9.ECR\475ba93e\00d34a37_f353cb01\Utils.DLL (Adware.InstallPedia) -> Quarantined and deleted successfully.

D:\Documents and Settings\Invité\Local Settings\Application Data\assembly\dl3\9NPOR7W8.MC3\5VJG7AM9.ECR\d85ab916\00a61936_f353cb01\networker.EXE (Adware.InstallPedia) -> Quarantined and deleted successfully.

D:\Documents and Settings\maurice\Local Settings\Application Data\assembly\dl3\ZM1L1MAO.XY0\QG15JOX1.RK8\20cbbdca\00d34a37_f353cb01\Utils.DLL (Adware.InstallPedia) -> Quarantined and deleted successfully.

D:\Documents and Settings\maurice\Local Settings\Application Data\assembly\dl3\ZM1L1MAO.XY0\QG15JOX1.RK8\72a18a3a\00a61936_f353cb01\networker.EXE (Adware.InstallPedia) -> Quarantined and deleted successfully.

 

 

J'y connais rien, mais il semble fully de success, non...??

 

A propos des mots de passe, je vais indiquer ça aussi à mon pote car là, il ************ grave, tout de même.

 

EDIT : ils sont plusieurs sur le PC et je soupçonne autre chose.

Je vais lui rendre sans trop rien dire, j'aime la paix dans les familles.

Modifié le 30 mars 2011 par yttria

[Apollo]

Oui, c'est bon, mais MBAM n'est pas à jour! On en est à la version 1.50.1.100! (mais les bases semblent être à jour pourtant).

 

Purger la restauration système au cas où il y trainerait encore une saleté qu'il ne faudrait pas remonter par mégarde/

 

Désactiver la Restauration Système.

 

Menu Démarrer/Tous les programmes/Accessoires/Outils Système/

 

Cliquer sur Restauration Système.

 

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

 

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

 

Un nouveau point de restauration sera automatiquement créé.

 

----------------

Fais une analyse avec Virus Removal Tool dont tu trouveras le lien pour le tuto dans ma signature

 

Poste le rapport que tu ne manqueras pas de sauvegarder j'espère. (héberger si trop lourd).

 

@++

[yttria]

Apollo.

 

Un des programmes m'a demandé de redémarer. Soit, la bécanne a peut-être remonté un virus.

 

Ce que je compte faire demain est de mettre à jour MBAM et le lancer puis t'envoyer le compte rendu.

 

J'ignore si ce serait plus sûr mais là, déjà, je vais me pieuter.

 

Pour l'arrêt momentanné des points de sauvegarde, cela va peut-être demander qu'on se penche dessus car le micro n'a pas de firewall...

Mais il ne faudra pas que ça sorte du net.

 

Ce micro est une passoire utilisée par des marteaux-piqueurs.

[yttria]

Outch...

 

J'ai désactivé et réactiver le point de sauvegarde.

 

J'ai téléchargé mais non installé ms removal tools.

 

J'attends d'autres instructions et ignore si j'aurais besoin de Rkill.

[yttria]

Up.

[Apollo]

Bonsoir,

 

J'ai téléchargé mais non installé ms removal tools.

 

J'imagine que tu voulais écrire Virus Removal Tool, car ce que tu cites est un rogue!

 

Mais si tu as téléchargé VRT il y a plusieurs heures, prends une nouvelle copie car il évolue sans cesse selon les bases antivirales.

 

@++

[yttria]

J'ai donc fait deux erreurs graves et une erreur mineure.

 

Le rapport est :

Analyse automatique: terminée : il y a 14 minutes (évênements : 2, objets : 355920, durée : 01:36:09)

01/04/2011 18:58:11 Lancement de la tâche

01/04/2011 20:34:21 Fin de la tâche

 

 

Et là, le micro refuse toute connexion internet.

 

Dois-je revenir au point de sauvegarde fait..???

[Apollo]

Bonsoir,

 

J'ai donc fait deux erreurs graves et une erreur mineure.

 

C'est à dire?

 

Si tu as effectivement téléchargé le rogue, tu as réinfecté ta machine.

 

Et si ton point de restauration a été créé quand l'ordi était fonctionnel et clean, oui, reviens-y.

 

Tiens-moi au courant.