[Résolu] Infection bloque antivirus et crée faux moteur de recherche

[OumHilal]

Bonjour Bernard,

 

super contente d'avoir réussi (grâce à ton aide précieuse) à éradiquer la sale bête.

 

J'ai relancé OTM dont voici le rapport :

 

All processes killed

========== FILES ==========

c:\documents and settings\All Users\Application Data\Trymedia\licenses folder moved successfully.

c:\documents and settings\All Users\Application Data\Trymedia\data folder moved successfully.

c:\documents and settings\All Users\Application Data\Trymedia folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: User

->Temp folder emptied: 42005018 bytes

->Temporary Internet Files folder emptied: 42095316 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 84770496 bytes

->Google Chrome cache emptied: 0 bytes

->Flash cache emptied: 1034 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 664 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

RecycleBin emptied: 1442 bytes

 

Total Files Cleaned = 161,00 mb

 

 

OTM by OldTimer - Version 3.1.19.0 log created on 10172011_101941

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

 

Puis MBAM, qui m'a trouvé encore des saletés :

 

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Version de la base de données: 7963

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.11

 

17/10/2011 11:57:50

mbam-log-2011-10-17 (11-57-32).txt

 

Type d'examen: Examen complet (A:\|C:\|D:\|F:\|G:\|H:\|I:\|)

Elément(s) analysé(s): 248495

Temps écoulé: 49 minute(s), 26 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 6

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\system volume information\_restore{8c6fd373-9cd0-4347-84c7-1689dfd823da}\RP632\A0275546.exe (Adware.TryMedia) -> No action taken.

c:\tdsskiller_quarantine\15.10.2011_22.32.39\susp0000\svc0000\tsk0000.dta (Backdoor.0Access) -> No action taken.

c:\tdsskiller_quarantine\15.10.2011_22.44.43\susp0000\svc0000\tsk0000.dta (Backdoor.0Access) -> No action taken.

c:\WINDOWS\system32\ALZALZ.BIN (Spyware.Passwords) -> No action taken.

c:\WINDOWS\system32\ALZZip.BIN (Spyware.Passwords) -> No action taken.

c:\documents and settings\User\local settings\application data\2228fe07\U\80000000.@ (Spyware.Agent) -> No action taken.

 

J'ai accepté la suppression des 6 fichiers ci-dessus.

 

Bon je m'attelle maintenant à la désinstallation des traces de Bitdefender.

Puis je verrai antivir.

 

Au fait, faut-il que je désinstalle ts les outils utilisés ? Et j'ai lu que Spybot était inutile, vaut-il mieux l'enlever ?

 

Bon j'ai encore d'autres questions, notamment sur IE et sur la carte graphique, mais chaque chose en son temps.

 

Merci encore à toi

[bernard53]

je constate que tout fonctionne de nouveau

 

si tout va donc bien.

 

 

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

 

Télécharge << DelFix >> de Xplode pour supprimer les logiciels qui ont servis a cette désinfection.

 

 

* Lance-le.

 

* A l'invite, [suppression] ()

 

* Un rapport va s'ouvrir à la fin, colle le dans la réponse

 

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

 

 

Puis ceci:

 

 

Maintenant on va mettre la restauration du système propre.

 

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés

ou touche "Windows+Pause"

Cliquez sur l'onglet Restauration du système

 

Sélectionnez Désactiver la Restauration du système sur tous les lecteurs.

 

Cliquez sur Appliquer puis OUI dans la fenêtre suivante.

 

Attendre quelques instants puis :

 

activer la restauration du système de nouveau. en décochant la case que vous venez de cocher puis valider par Appliquer et OK

 

Maintenant on crée un nouveau point de restauration.

 

Démarrer—Exécuter—ou touche "Windows+R" et tapes:

%SystemRoot%\System32\restore\rstrui.exe

 

Puis coche " Créer un point de restauration" que tu nommes PC- Clean. Valide.

 

Vous pouvez maintenant fermer toutes les fenêtres.

 

 

Maintenant poses moi tes autres question sur IE et ta carte graphique.

[OumHilal]

Bon y a encore un souci. Antivir m'avertit qu'il y a un fichier infecté (pathcload)(mais j'ai pas eu le temps de noter le nom) ds MBAM. Je lui demande de le supprimer mais il continue à le détecter.

 

Quand j'y regarde de plus près, je trouve dans C: deux MBAM. J'en désinstalle un mais impossible de supprimer le deuxième dossier. Le msg d'erreur est : "impossible de supprimer, le répertoire n'est pas vide".

 

Je vais lancer un scan d'antivir.

 

Je te tiendrai au courant en fin d'après-midi.

 

Au fait, pr bitdefender, c'est ok, c'est dingue, j'avais pourtant cru tt désinstallé il y a 2 ans.

 

Et j'ai pu réinstaller antivir.

 

A plus tard

[OumHilal]

Le scan d'antivir me détecte une ribambelle de fichiers infectés. On y retrouve ce fichu "patchload" et rootkit zero access s'est bien amusé.

 

J'ai donc placé en quarantaine. Faut-il que je supprime tout ? (Je crois que j'ai mal configuré antivir parce qu'il ne me proposait pas de les supprimer. En général, en cas d'infection, qu'est-il préférable de faire ? placer en quarantaine ou supprimer ?)

 

Je n'arrive tjs pas à supprimer ce dossier MBAM infecté, je veux le désinstaller pr le réinstaller propre. A moins qu'il faille procéder différemment. En tous cas, le programme n'est plus opérationnel.

 

Est-ce que je commence à désinstaller ts les outils de désinfection ou je dois attendre ? Apparemment tt n'est pas encore nickel.

 

Voici le rapport d'antivir :

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Au fait, où sont enregistrés les rapports de scan en général ? Et ceux d'antivir ? Parce qu'à chaque fois, j'ai fait un enregistrer sous pr être sûre de les retrouver ds mes doc. Mais ils sont peut-être automatiquement enregistrés qq part.

 

J'attends les instructions suivantes. A +

[bernard53]

ok normal toutes ces détections . voici pourquoi

 

Les détections sont dans la restauration du système que tu n'as pas purger comme indiqué ci dessus.

La deuxième détections est dans la suppression faite par Combofix donc lande DEFFIX qui va résoudre cela.

 

Ensuite par précaution une fois tout ceci fait télécharger OTL de nouveau et mets le rapport s.t.p

[OumHilal]

Bon je fais ça pr OTL. Ouf tu me rassures avec les détections.

Est-ce possible d'avoir téléchargé un faux google chrome ?

Parce que je l'ai téléchargé au moment où j'avais déjà le problème. Or il n'apparaît pas ds ma liste de programmes (suppression de programmes) et il ne fonctionne plus (a fonctionné au début, mais comme je ne connais pas la page de garde de chrome, je ne peux pas te dire si elle était "normale".

 

Autre truc anormal aujourd'hui : ds la barre de démarrage, affichage d'un panneau danger : "Outpost firewall pro" est désactivé. Qu'est-ce que c'est que ce pare-feu ?

Puis ma messagerie reçoit ts mes mails en double. Et FF semble ramer encore.

enfin dernier truc qui me questionne : windows réclame sans cesse des mises à jour (plus que d'hab j'ai l'impression).

 

Dc je lance delfix puis otl. C'est ça ?

[bernard53]

Dc je lance delfix puis otl. C'est ça ?

OUI comme cela je vais voir ce qui ralenti FF.

 

Autre truc anormal aujourd'hui : ds la barre de démarrage, affichage d'un panneau danger : "Outpost firewall pro" est désactivé. Qu'est-ce que c'est que ce pare-feu

si tu n'as pas installé ce Pare feu, supprimes le tout simplement.

 

supprime Google Chrome car il a peu être patché et refait un nouveau téléchargement de celui-ci.

[OumHilal]

Bon j'ai fait les désinstallations avec delfix. Rapport :

# DelFix v8.6 - Rapport créé le 18/10/2011 à 12:28:15

# Mis à jour le 13/10/11 à 18h par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : User - USER-960DE02D0A (Administrateur)

# Exécuté depuis : C:\Documents and Settings\User\Mes documents\Téléchargements\delfix.exe

# Option [suppression]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Supprimé : C:\Qoobox

Supprimé : C:\USBFix

Supprimé : C:\_OTL

Supprimé : C:\_OTM

Supprimé : C:\RSIT

Supprimé : C:\TDSSKiller

Supprimé : C:\ZHP

Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

Supprimé : C:\Program Files\ZHPDiag

Supprimé : C:\Program Files\Trend Micro\Hijackthis

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\AdwCleaner[R1].txt

Supprimé : C:\AdwCleaner[s1].txt

Supprimé : C:\ComboFix.txt

Supprimé : C:\TDSSKiller.2.6.9.0_15.10.2011_22.32.37_log.txt

Supprimé : C:\TDSSKiller.2.6.9.0_15.10.2011_22.44.41_log.txt

Supprimé : C:\TDSSKiller.2.6.9.0_15.10.2011_23.27.44_log.txt

Supprimé : C:\TDSSKiller.2.6.9.0_15.10.2011_23.33.31_log.txt

Supprimé : C:\TDSSKiller.2.6.9.0_15.10.2011_23.39.30_log.txt

Supprimé : C:\UsbFix.txt

Supprimé : C:\Documents and Settings\User\Bureau\ComboFix.exe

Supprimé : C:\Documents and Settings\User\Bureau\OTL.exe

Supprimé : C:\Documents and Settings\User\Bureau\OTM.exe

Supprimé : C:\Documents and Settings\User\Bureau\UsbFix-7.036.exe

Supprimé : C:\Documents and Settings\User\Bureau\ZHPDiag2.exe

Supprimé : C:\Documents and Settings\User\Mes documents\Téléchargements\adwcleaner.exe

Supprimé : C:\Documents and Settings\User\Mes documents\Téléchargements\CFScript.txt

Supprimé : C:\Documents and Settings\User\Mes documents\Téléchargements\ComboFix.exe

Supprimé : C:\Documents and Settings\User\Mes documents\Téléchargements\Extras.Txt

Supprimé : C:\Documents and Settings\User\Mes documents\Téléchargements\HiJackThis(1).exe

Supprimé : C:\Documents and Settings\User\Mes documents\Téléchargements\HiJackThis.exe

Supprimé : C:\Documents and Settings\User\Mes documents\Téléchargements\hijackthis.log

Supprimé : C:\Documents and Settings\User\Mes documents\Téléchargements\Load_tdsskiller.exe

Supprimé : C:\Documents and Settings\User\Mes documents\Téléchargements\OTL.Txt

Supprimé : C:\Documents and Settings\User\Mes documents\Téléchargements\RogueKiller.exe

Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

Supprimé : C:\WINDOWS\grep.exe

Supprimé : C:\WINDOWS\PEV.exe

Supprimé : C:\WINDOWS\NIRCMD.exe

Supprimé : C:\WINDOWS\MBR.exe

Supprimé : C:\WINDOWS\SED.exe

Supprimé : C:\WINDOWS\SWREG.exe

Supprimé : C:\WINDOWS\SWSC.exe

Supprimé : C:\WINDOWS\SWXCACLS.exe

Supprimé : C:\WINDOWS\Zip.exe

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKCU\Software\USBFix

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP

Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

Clé Supprimée : HKLM\SOFTWARE\Swearware

Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

 

~~~~~~ Autres ~~~~~~

 

-> Prefetch Vidé

 

*************************

 

DelFix[s1].txt - [3475 octets] - [18/10/2011 12:28:15]

 

########## EOF - C:\DelFix[s1].txt - [3599 octets] ##########

 

Ensuite j'ai lancé OTL :

voici les rapports :

Cijoint.fr - Service gratuit de dépôt de fichiers

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Je n'ai pas encore créé le point de restauration car je veux être sûre que tt est clean.

 

Est-ce le cas ? J'ai un achat en ligne assez urgent à faire, je peux le faire de manière sécurisée maintenant ?

 

Sinon tu me dis :

Autre truc anormal aujourd'hui : ds la barre de démarrage, affichage d'un panneau danger : "Outpost firewall pro" est désactivé. Qu'est-ce que c'est que ce pare-feu

 

si tu n'as pas installé ce Pare feu, supprimes le tout simplement.

 

supprime Google Chrome car il a peu être patché et refait un nouveau téléchargement de celui-ci.

 

Où puis-je trouver ces programmes ? car j'ai cherché, ils ne st pas ds programme de suppression de programme et je ne les ai pas trouvés ds C.

Quel est l'éditeur pr Outpost firewall ? Peut-être se cache-t-il ss un autre nom ?

Et que signifie "patché" ?

 

Ah dernière chose FF ne rame plus depuis le travail de delfix. Par contre, depuis j'ai ds FF une barre d'outils avira qui s'est installée (pourtant j'ai pas redémarré ma machine) et deux moteurs de recherche en plus (bing et ask). Cette barre d'outils est-elle nécessaire ? Si elle n'est pas utile, j'aimerais bien la supprimer.

 

Désolée pour toutes les questions (et j'en ai encore plein en stock, mais je veux pas t'effrayer ! )

 

Merci encore.

 

Dsl si la citation n'est pas bien mise en page...

Modifié le 18 octobre 2011 par OumHilal

[OumHilal]

Ah oui, tjs impossible de supprimer le dossier MBAM dans lecteur C:\ProgramFiles (msg d'erreur : répertoire n'est pas vide)

Qu'est-ce que je fais ? je le télécharge à nouveau et le réinstalle ? Sachant qu'antivir m'avait trouvé un dossier infecté ds MBAM.

 

Ah je t'avais aussi posé cette question : la prochaine fois qu'Antivir me trouve un dossier corrompu, je le supprime ou le place en quarantaine ?

A +

[OumHilal]

J'ai refait un scan avec antivir. Tt est OK. Est-ce que tu veux lire le rapport ?

 

Je reviens ce soir sur le site.