PC Infecté

[Libellule-Bleue]

Bonjour,

Voici mon problème : depuis deux jours, des messages d'avertissement d'Avast s'affichent intempestivement sur mon écran.

Le message est le suivant (l'expéditeur ne change pas contrairement au destinataire):

 

Depuis le début de ces messages s'en suit également des avertissements du bouclier avast déclarant bloquer l'accès a des sites malveillants (or je n'ai que cette page d'ouverte par exemple).

 

Ce qui est fait pour le moment : Désactivation de la restauration du système, Scan avec Avast (rien trouvé) et log Hijackthis fait à l'instant.

 

Lors du scan dès le début un message apparaît :

 

Voici le log :

 

Merci d'avance pour votre éventuelle aide

[Libellule-Bleue]

Re bonsoir,

 

Voici une nouvelle alerte qui s'affiche à présent en plus des autres

 

 

 

Uploaded with ImageShack.us

[lance_yien]

Bonjour Libellule-Bleue,

 

---

Très Important!

 

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

 

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

 

>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau (ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller").
  
• Prendre l'habitude de désactiver tous les programmes de protection au début de chaque nouvelle étape et de les réactiver à la fin.
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
  

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Coller le contenu des rapports SANS y ajouter AUCUN formatage de texte (en citation, code, couleur etc...).

 

>>> Ne pas abandonner son sujet avant d'avoir été informé(e) que tout est OK.

---

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

• Malware Bytes Anti-Malware depuis ici.
• Rkill (par Grinler) depuis un de ces liens:
  
  • Rkill.exe
    
  • Rkill.com
    
  • Rkill.scr

  [*]Security Check (par screen317) depuis ici ou ici.

 

>>> Utiliser Rkill: Double-cliquer sur le fichier Rkill. Son seul rôle est de désactiver (jusqu'au nouveau démarrage du PC) certains processus de malware pour débloquer l'utilisation des programmes de désinfection.

- Si le 1er fichier télécharger ne fonctionne pas en essayer un autre.

- Si pour une raison quelconque le PC doit être redémarré avant la fin de ces étapes, accepter et relancer RKill de nouveau.

- Je n'ai pas besoin de voir le rapport qu'il produit.

 

 

>>> Utiliser Malwarebytes' Anti-Malware: Fermer toutes les applications et fenêtres ouvertes et double-cliquer sur mbam-setup.exe (pour Vista/ Windows7, cliquer-droit sur mbam-setup.exe => "Exécuter en tant qu'administrateur"). Suivre les indications en laissant tout par défaut. Cliquer sur Terminer sans rien changer.

- Lancer le programme depuis son icône sur le bureau ou depuis "Démarrer" => "Tous les programmes" => "Malwarebytes' Anti-Malware".

- Faire les Mises à jour depuis l'onglet du même nom. Si problème avec les mises à jour automatiques, cliquer ICI pour les télécharger et les installer manuellement.

- Dans l'onglet "Recherche" laisser la case "Exécuter un examen rapide" cochée et cliquer sur "Rechercher".

 

 

Patienter jusqu'à la fin (affichage du message ci-dessous)

 

 

Cliquer sur OK, pour fermer ce message.

 

- Cliquer sur "Afficher les résultats" puis s'assurer que tout est coché et cliquer sur "Supprimer la sélection".

 

Le programme procède alors au nettoyage. S'il vous demande de redémarrer le PC, ACCEPTER (c'est pour supprimer certains fichiers spécifiques).

A la fin un rapport s'affiche (accessible à tout moment depuis l'onglet Rapport/Logs de la fenêtre principale de MBAM. Poster son contenu dans la prochaine réponse.

 

 

>>> ESET Online Scanner: Brancher tous les médias amovible disponibles (DD externe, clés USB etc) et désactiver antivirus/ parefeu et antispyware.

Utiliser Internet Explorer pour aller ICI.

• Cliquer sur le bouton vert ESET Online Scanner, cocher la case "YES, I accept the Terms of Use" et cliquer sur Start.
  
• Accepter l'installation de l'ActiveX.
  
• Cocher "Scan archives", DEcocher "Remove found threats" et cliquer Start.
  
• Eset téléchargera la base de données et commencera le scan. Le laisser finir son scan.
  
• Ensuite, cliquer sur "List of found threats"
  
• Cliquer sur "Export to text file..." et sauvegarder les résultats sur le Bureau en le nommant "scan-results" pour les copier/coller ici.
  
• Cliquer sur et cocher la case Uninstall application on close pour supprimer ESET Online Scanner de la machine.

Cliquer sur et poster le rapport.

 

 

>>> Utiliser SecurityCheck: Fermer tout et double-cliquer sur "SecurityCheck.exe" (Vista/W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") pour lancer le programme.

Appuyer sur une touche comme demandé et suivre les indications.

Note: Si un des programmes de sécurité demande la permission d'accéder à Internet depuis dig.exe, acceptez.

Le Rapport checkup.txt s'ouvre à la fin. Poster son contenu.

Ce rapport ne sera pas enregistré automatiquement. Si vous voulez en garder une copie, cliquez sur "Fichier" => "Enregistrer sous", choisissez un endroit (Bureau par exemple) et cliquez sur "Enregistrer" en bas à droite.

Poster son contenu.

 

 

Rapports demandés:

• Malwarebytes Anti-Malware log
• scan-results.txt
• checkup.txt

[Libellule-Bleue]

Bonjour,

 

Avant toute manipulation, peux tu me dire s'il te plaît si ma restauration système doit être activée ou pas ?! (en ce moment elle est désactivée )

 

Merci Lance_yien d'avoir pris le temps de me répondre

Modifié le 6 juin 2011 par Libellule-Bleue

[lance_yien]

Bonjour,

 

Hautement recommandé de l'activer et la garder ainsi

[Libellule-Bleue]

Bonjour,

 

Tous les scans ont été réalisé avec succès comme expliqué.

 

En voici les rapports :

 

* Malwarebytes Anti-Malware log

 

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

 

Version de la base de données: 6931

 

Windows 6.0.6001 Service Pack 1

Internet Explorer 7.0.6001.18000

 

24/06/2011 00:06:35

mbam-log-2011-06-24 (00-06-35).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 174003

Temps écoulé: 6 minute(s), 10 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 8

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DAT7A93.tmp.exe (Spyware.Passwords.XGen) -> Value: DAT7A93.tmp.exe -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\Users\Niz\AppData\Local\Temp\dat7a93.tmp.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

c:\Users\Niz\AppData\Local\Temp\0.5801516154404543.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\Users\Niz\AppData\Local\Temp\0.6127002169470038.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\Users\Niz\AppData\Local\Temp\0.7455971579604102.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\Users\Niz\AppData\Local\Temp\_634C.tmp (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

c:\Users\Niz\AppData\Local\Temp\_7D24.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.

c:\Users\Niz\AppData\Local\Temp\_7E2D.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.

c:\Users\Niz\AppData\Local\Temp\_C27.tmp (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

 

 

 

* scan-results.txt

 

C:\Program Files\VistaCodecPack\Tools\Settings32.exe Win32/Packed.Autoit.C.Gen application

C:\ProgramData\VistaCodecs\{485E22DC-9EFE-4E26-AAA2-792BB0784D74}\Vista Codec Package.msi Win32/Packed.Autoit.C.Gen application

C:\Users\Niz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\30460a90-2050929a menaces multiples

C:\Users\Niz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\37db3fe2-386a7676 Java/TrojanDownloader.Agent.ME cheval de troie

C:\Users\Niz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\1eff1eb1-14281dff une variante probable de Win32/Agent.DYXWUMY cheval de troie

C:\Users\Niz\Desktop\PC\MsgPlusLive-490.exe une variante de Win32/MessengerPlus application

C:\Users\Niz\Downloads\WebSite.X5.Evolution.v7.0.11.Multilenguaje.Incl.Keygen-CORE.rar une variante de Win32/Keygen.AG application

 

 

 

* checkup.txt

 

 

Results of screen317's Security Check version 0.99.15

Windows Vista Service Pack 1 (UAC is enabled)

Out of date service pack!!

Internet Explorer 7 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

avast! Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

HijackThis 2.0.2

Java 6 Update 18

Out of date Java installed!

Flash Player Out of Date!

Adobe Flash Player 10.1.102.64

````````````````````````````````

Process Check:

objlist.exe by Laurent

Alwil Software Avast4 aswUpdSv.exe

Alwil Software Avast4 ashServ.exe

Alwil Software Avast4 ashDisp.exe

``````````End of Log````````````

 

 

Merci et désolé pour le retard de réponse

[lance_yien]

Bonjour,

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

 

>>> Crack et Cie: Pas de gros signes d'infection en vue mais ça sent les "cracks" et autres "keygens"...

Un peu de lecture sur tout ce qu tourne autour de ça:

Warez ; Crack ; keygen.

 

Il faut absolument arrêter de croire que ces programmes sont là juste pour faire plaisir ou rendre service.

 

Bien au contraire ils sont devenus de vraies bombes pour les machines, il n'y a qu'à parcourir les Forums pour voir le nombre de PC victimes de ces programmes.

Ils sont le gagne-pain de leurs développeurs et plus le malware qu'ils renferment est vicieux, plus le programme se vend cher.

 

Parce qu'il existe toujours un programme/logiciel gratuit et légal pour pratiquement tout ce qu'on veut, rester à l'écart de tout ceci.

 

Tout ce qui vient des P2P/ Torrent est devenu de plus en plus dangereux pour les machines et les documents personnels qui y sont stockés.

Fini le partage entre des gens honnêtes. Les pirates, aussi, veulent partager avec le maximum d'internautes et mettent à disposition leurs sites et/ou disques durs (avec de belles dynamites évidemment).

En plus le principe même de ce type de réseau n'est en rien bénéfique. Bien au contraire, vous autoriser tout le monde à utiliser votre bande passante et communiquer avec votre machine ce qui facilite la tâche à qui veut y déposer/ récupérer ce que l'on veut.

En y adhérant, non seulement, vous ouvrez délibérément des portes à toutes les intrusions mais aussi, vous forcez votre pare-feu et antivirus à les tolérer (c'est compris dans la procédure d'installation).

 

Lire attentivement Le danger des P2P et prendre la sage décision de désinstaller tout programme illégal déjà installer. Vider les dossiers qui contiennent des installateurs de programmes de ce type.

--

 

>>> Suppression de fichiers malicieux détectés: Cliquer sur Démarrer => Exécuter. Saisir notepad et cliquer sur OK.

Copier/ Coller le texte en citation ci-dessous commençant par @.

Cliquer sur "Fichier" => "Enregistrer" puis sur "Bureau" (à gauche). Saisir (ou coller) supprim.bat dans "Nom du fichier:" et sélectionner "Tous les fichiers" dans "Type:". Cliquer, enfin sur "Enregistrer" en bas à droite.

 

Fermer tout et cliquer-droit sur "supprim.bat" => "Exécuter en tant qu'administrateur". Cliquer sur OK et redémarrer le PC.

 

@echo off

del /F C:\Program Files\VistaCodecPack\Tools\Settings32.exe

del /F C:\ProgramData\VistaCodecs\{485E22DC-9EFE-4E26-AAA2-792BB0784D74}\Vista Codec Package.msi

del /F C:\Users\Niz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\30460a90-2050929a

del /F C:\Users\Niz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\37db3fe2-386a7676

del /F C:\Users\Niz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\1eff1eb1-14281dff

del /F C:\Users\Niz\Desktop\PC\MsgPlusLive-490.exe

del /F C:\Users\Niz\Downloads\WebSite.X5.Evolution.v7.0.11.Multilenguaje.Incl.Keygen-CORE.rar

exit

 

Essayer en Mode sans échec si nécessaire (cas de difficultés).

--

 

>>> CCleaner: Lancer "CCleaner"[/b][/color] en cliquant sur son icône sur le Bureau ou en cliquant sur "Démarrer" => "Tous les programmes" => "CCleaner".

Dans la fenêtre principale, vérifier que les cases soient cochées comme ceci (d'autres cases peuvent être cochées pour ceux qui maîtrisent l'outil):

Cliquer sur "Nettoyeur" à gauche, sur "Analyser" à droite et laisser faire.

Cliquer sur "Nettoyer" quand c'est prêt autant de fois qu'il y a encore des items dans l'encadré à droite.

Il ne faut pas se servir du bouton "Registre" (à gauche) pendant la désinfection.

--

 

>>> Mises à jour: Toute ancienne version d'un programme quel qu'il soit peut comporter des vulnérabilités susceptibles d'être exploitées pour infecter un PC:

• Ta version de Windows Vista SP1 n'est pas à jour.
  Windows Vista Service Pack 2 (SP2) contient toutes les mises à jour aussi bien contre les vulnérabilités de Windows que pour l'adaptabilité des drivers pour les matériels.
  Cliquer ICI ou ICI.
  A la fin, penser à mettre les MAJ sur Automatique depuis "Démarrer" => "Tous les programmes" => Windows Update. Cliquer sur "Changer les paramètres" => "Automatique...".
   
  
• Java: Utiliser, IMPÉRATIVEMENT, Internet Explorer pour téléchargez (sur le Bureau) la dernière version qui correspond à votre Système d'exploitation (32 ou 64 bits): Téléchargements Java pour tous les systèmes d'exploitation.
   
  
  

  
   
  Avant l'installation il est important de commencer par supprimer TOUTES les anciennes versions dans votre machine parce qu'elles peuvent contenir des vulnérabilités de sécurité:
  Cliquer sur "Démarrer" => "Panneau de Configuration" => "Ajout/ Suppr des Programmes".
  Chercher, dans la liste les lignes concernant Java (J2SE Runtime Environment.... ) et repérables avec cette icône .
  Sélectionner une ligne à la fois et cliquer sur Modifier/ Supprimer.
  Quand il n'y en a plus fermez tout et installez la nouvelle version en cliquant sur le fichier que vous avez téléchargé.
   
  

• Flash Player:
  - Désinstaller[/b][/color] les vieilles versions de Flash Player avec cet utilitaire (en le téléchargeant sur le Bureau.
  - Ensuite, installer la dernière version en cliquant ici. Décocher l'option "McAfee® Security Scan Plus gratuit (en option)" et cliquer sur Télécharger dès maintenant pour lancer le processus d'installation. Patienter jusqu'à la fin et supprimer le fichier uninstall_flash_player.exe
  Répéter la 2ème étape pour chacun de vos navigateurs utilisés (IE, FF...).
   
  
• Avast! est à la version 6 maintenant. A télécharger depuis ici.

 

>>> Utiliser OTL: Télécharger, sur le Bureau OTL (par OldTimer) depuis ici ou ici.

Brancher et allumer tous les médias amovibles disponibles (DD externe, clés USB etc) et désactiver antivirus/ parefeu et antispyware.

Fermer toutes les applications et fenêtres ouvertes et cliquer-droit sur OTL.exe => Exécuter en tant qu'Administrateur.

Copiez/ Collez ces lignes (commençant par netsvcs) dans l'espace sous "Personnalisation":

 

netsvcs

drivers32

%SYSTEMDRIVE%\*.*

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\drivers\*.sys /90

CREATERESTOREPOINT

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

SAVEMBR:0

Sans rien changer, cliquer sur le bouton bleu Analyse et laisser faire.

A la fin du scan, 2 rapports seront créés: OTL.txt (qui s'ouvre dans le bloc-note) et Extras.txt (qui sera minimisé dans la Barre des tâches).

 

Copier/ Coller le contenu de chaque rapport, un seul par message parce qu'ils sont souvent très longs et dépassent la limite autorisée par le forum.

 

 

Rapports demandés:

• OTL.txt
• Extras.txt

Un petit résumé de ce qui te reste à vérifier comme symptômes?