Demande d'aide sur un malware difficile à éliminer

[epatrick]

Bonjour

 

niveau en informatique : ex developpeur unix puis windows (MFC, COM ), bonnes notions systèmes

 

sur mon pc personnel ( win xp sp3 familial ), il y a plusieurs comptes utilisateurs ( sans droits admin )

sur l'un d'eux, quand on lance firefox ou ie, et après une recherche google (sur un sujet futile) et que l'on clique sur un lien de réponse, on est redirigé vers des sites pornos au lieu des sites sérieux ( paris match, etc...)

1) l'analyse MBAM (trial finit ce jour) et MRT n'a rien trouvé

2) la maj de la base virale d'avast HOME 4.8 du 30/9 a permis d’empêcher la redirection : le site cible est désormais bloqué, mais ie ou ffox ne fonctionne plus et quoi qu'on fasse le systeme ( mais le quel ) essaie de nous rediriger vers le site interdit http://64.111.199.243/etc....cabalistique

il faut se de-loguer de windows pour que ça marche

 

 

voila je demande s'il y a des conseils et ou des méthodes qui permettraient d'avancer sur le sujet.

merci d'avance aux analyses pertinentes, conseils avisés et réflexions sagaces.

[lance_yien]

Bonjour epatrick,

 

---

Très Important!

 

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

 

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

 

>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau (ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller").
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
  

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Coller le contenu des rapports SANS y ajouter AUCUN formatage de texte (en citation, code, couleur etc...).

 

>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

---

 

Toutes les manipulations, dans cette étapes et les prochaines, doivent être faites sous le compte administrateur sauf indications contraires pour un point précis.

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

• ComboFix© (par sUBs) depuis ici ou ici
• Security Check (par screen317) depuis ici ou ici.

 

>>> ComboFix/Analyse: Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et double-cliquer sur ComboFix.exe. Suivre les instructions en répondant toujours par OUI/OK.

NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer).

Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\). Copier/ coller son contenu dans une prochaine réponse et passer au reste.

 

 

>>> Analyse en ligne: Brancher/ allumer tous les médias amovibles disponibles (DD externe, clés USB etc) susceptibles d'avoir été infecté et désactiver antivirus/ pare-feu et antispyware.

Utiliser Internet Explorer pour aller ici, cliquer sur le bouton "ESET Online Scanner", cocher la case "YES, I accept the Terms of Use" et cliquer sur Start.

Accepter l'installation de l'ActiveX et cocher "Scan archives", DEcocher "Remove found threats" et cliquer Start.

Eset téléchargera la base de données et commencera le scan. NE PAS utiliser la machine tant que l'analyse n'est pas finie (peut durer très longtemps).

Ensuite, cliquer sur "List of found threats" => "Export to text file..." et sauvegarder les résultats sur le Bureau comme "scan-results" pour les copier/coller dans la prochaine réponse.

Cliquer sur "<< Back" et cocher la case "Uninstall application on close" pour supprimer ESET Online Scanner de la machine. Cliquer sur "Finish" pour fermer le programme et poster le rapport avec le suivant dans une prochaine réponse.

 

 

>>> Utiliser SecurityCheck: Double-cliquer sur SecurityCheck.exe pour lancer le programme.

Appuyer sur une touche comme demandé et suivre les indications.

Si un des programmes de sécurité demande la permission d'accéder à Internet depuis "dig.exe", acceptez.

Le Rapport "checkup.txt" s'ouvre à la fin. Poster son contenu avec celui de ESET.

Ce rapport ne sera pas enregistré automatiquement. Si vous voulez en garder une copie, cliquez sur "Fichier" => "Enregistrer sous", choisissez un endroit (Bureau par exemple) et cliquez sur "Enregistrer" en bas à droite.

 

>>> Rapports demandés:

• ComboFix.txt
• scan-results.txt
• checkup.txt

Un changement quelconque?