[Résolu] W97M.Downloader

[Auzz]

Bonjour,

 

Je suis sous Windows 7 et infestée par W97M Downloader.

Le virus est détecté par Symantec.

J'ai vu et lu le précédent post ouvert à ce sujet et ai déjà réalisé la première étape indiquée par tomtom95 à savoir, un scan par Farbar Recovery Scan Tool.

Voici donc mes deux rapports :

 

http://www.cjoint.com/c/EFwi3KjHdMA

&

http://www.cjoint.com/c/EFwjejXA2iA

 

Merci d'avance pour l'éventuel coup de main que je pourrais obtenir.

Modifié le 24 juin 2015 par Auzz

[tomtom95]

Bonjour Auzz,

Je regarde vos rapports

A plus

[tomtom95]

Re,

Ok je vois que tu as dèjà fais du ménage on va supprimer les restes de fichiers
W97M.Downloader est dans la quarantaine de Symantec vide là s'il te plaît.

Tu as deux antivirus
Microsoft Security Essentials
Symantec Norton Antivirus
Il ne faut qu'un seul antivirus sur un ordinateur
Désinstalle celui que tu ne veux plus.

• Vous allez faire une correction Farbar Recovery Scan Tool
• Ouvrez le Bloc-notes (notepad).
• Copiez le contenu de la zone code ci-dessous.
  Pour ce faire, sélectionnez toutes les lignes de start jusqu'a end
  faites un clique droit et choisissez Copier.
• Collez ceci dans la fenêtre ouverte du Bloc-notes.
• Clique en haut sur fichier et enregistrer sous sélectionne le bureau
  Enregistrez le fichier sous le nom fixlist.txt clique sur enregistrer
  

  start
  CloseProcesses:
  Hosts:
  RemoveProxy:
  EmptyTemp:
  CreateRestorePoint:
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
  SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKLM -> {A4E4150F-F06F-4D40-AC11-C745FEED3DC1} URL =
  SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
  SearchScopes: HKU\S-1-5-21-2558583170-1771453407-3345181641-1001 -> {A4E4150F-F06F-4D40-AC11-C745FEED3DC1} URL =
  SearchScopes: HKU\S-1-5-21-2558583170-1771453407-3345181641-1003 -> DefaultScope {A4E4150F-F06F-4D40-AC11-C745FEED3DC1} URL =
  SearchScopes: HKU\S-1-5-21-2558583170-1771453407-3345181641-1003 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL =
  FF DefaultSearchEngine: sweet-page
  S1 MpKslfd59e806; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A63488CA-4675-4E63-A311-C929F35F75B3}\MpKslfd59e806.sys
  2015-06-18 11:58 - 2015-06-18 11:58 - 00043112 _____ (Avast Software s.r.o.) C:\Windows\ava6249.tmp
  Task: {51F8824F-CC15-4A43-9604-0D780EA000C9} - System32\Tasks\{004BCD32-B460-4861-AF32-E3D86C219DF1} => pcalua.exe -a C:\inst\Kaspersky\setup.exe -d C:\inst\Kaspersky
  
  end

  NOTE. Il est important que les deux ,L'outil FRST et le fichierfixlist.txt se trouvent dans le même emplacement, sur le bureau sinon la correction ne fonctionnera pas.
  
  NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur,
  pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.
  
  
  
  Exécutez FRST,
• cliquez une seule fois sur le bouton Fix et attendez.
  Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement.
• Ensuite laissez l'outil terminer son travail.
  Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
• Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne
  Puis copie/colle le lien fourni dans ta prochaine réponse.

• Télécharge ZHPCleaner de Nicolas Coolman sur votre bureau.
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Fais un double clique sur l'icône pour le lancer
  Sous Windows Vista / 7 / 8 (clique-droit > exécuter en tant qu'administrateur
  Accepte "les conditions d'utilisation"
  
  
• Cliquer sur scanner
  Lorsque le scan est terminé
• Clique sur Nettoyer
  Une demande concernant l'interface de réparation s'affiche.clique sur NON
  Pour le reste cliquer sur OUI
  Redémarre l'ordinateur après la réparation
  Héberge le rapport ZHPCleaner.txt présent sur ton bureau sur le site ce service de rapport en ligne
  Puis copier/coller le lien fourni dans votre prochaine réponse.

Désactiver le module résident de l'antivirus avant de télécharger et appliquer l'outil

• Télécharger sur le bureau pas ailleur SFTGC.exe de pierre 13
• Si l'antivirus fait des siennes: désactive-le provisoirement.
  Si tu ne sais pas comment faire, reporte-toi à cet article.
• Sous Vista, Win 7 et Win 8, Faire un clic droit sur le fichier et choisir exécuter en tant qu'administrateur
  
• Pour lancer le nettoyage, il suffit de cliquer sur Go.
• A la fin du nettoyage, un rapport va s'ouvrir.
• Ce rapport est enregistré sur le bureau (SFTGC.txt)
  Ce rapport étant trop long pour le forum, héberge le :ce service de rapport en ligne
• Sur et copie-colle le lien fourni dans ta réponse
  vous pouvez clique droit sur la corbeille => Vider la corbeille.

• Vous allez faire un Scan personnalisé avec >> MalwareByte's Anti-Malware avec cette procédure
• Ouvre MBAM Sur le Tableau de bord, cliquez en haut sur Examen
• Après sélectionner Examiner Personnalisé.>> Configurer Examens
• Configurer et Cochez toutes les cases
  
  
• Lancer l'examen >> Examiner Maintenant
• Quand l'examen est terminé, si des éléments ont été détectés,,
• cliquez sur Appliquer les actions
  Pour laisser MBAM nettoyer ce qui a été détecté.
• Si un redémarrage est demandé, clique sur Yes.
• Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.
• Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.
• Cliquez sur l'onglet Historique > Journaux de l'application.
• Faites un double clique sur le Scan log dont l'analyse qui vient d'être effectuée.
• Cliquez sur Exporter.
• Cliquez sur Fichier texte (*.txt)
• Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.
• Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.
• Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".
• Cliquez sur OK
• Hébergez le contenu du rapport sur le site ce service de rapport en ligne
  Puis copie/colle le lien fourni dans votre prochaine réponse.

 

 

[Auzz]

Merci. Voici mes rapports :

 

FRST : http://up.security-x.fr/file.php?h=R38bcf3e56859197203e8e7b461aa7b7e

 

ZHP Cleaner : http://up.security-x.fr/file.php?h=Re3210a3da2b5a13ac3e77e9712553c19

 

SFTGC : http://up.security-x.fr/file.php?h=R496b82b50f39b60e837e2ba1dd29a872

 

MBAM : http://up.security-x.fr/file.php?h=Rc7173bfe22eb1c9b0ce9d758519ea74b

[tomtom95]

Bonjour,

Ok, très bien
Comment se comporte le système maintenant par rapport aux symptômes signalés au début ?

Si c'est bon nous allons pouvoir terminer la procédure de désinfection

• Vous allez supprimer les outils et Important purger la restauration.
  Téléchargez DelFix (de Xplode) sur ton Bureau
  
• Cochez les cases :
  supprimer les outils de désinfection
  Purger la restauration système
• Validez sur Exécuter
• Laissez travailler l'outil
  Un rapport s'ouvre Copie/colle le rapport obtenu
  Delfix ce supprime automatiquement
  Le rapport ce trouve aussi sur a la base du lecteur C\Defix.txt
• Hébergez le rapport Defix.txt sur le site http://www.cjoint.com
  Puis copier/coller le lien fourni dans votre prochaine réponse.

Quelques conseils pour finir:
Je conseille pour l'avenir de changer de mode de téléchargement.
Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant
Bien lire les accords de licence avant toute installation.
prend quelques instants pour lire,

Lisez d'abord cliquez après !!!
Stop les publicités intempestives, programmes parasites et adwares
Les installateurs et l'opt out
Repack de logiciel (Repacking)
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net..
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring),
Votre PC se retrouve avec des programmes ou barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Lire Les PUPs/LPIs
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.

Il est important de tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Sauvegarder régulièrement les données personnelles sur un support externe.
Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player.
Avec l'outil SX Check&Update de igor51
De maintenir son antivirus à jour et analyser le système régulièrement, même chose avec un scan avec Malwarebytes.

Au niveau de Firefox vous pouvez sécuriser votre navigation
Firefox

Comment tester sa vigilance pour ne pas se faire infecter par des programmes néfastes pendant l'installation d'un logiciel

Tester l'outil Prévention Pour éviter les problèmes d'infection

• Télécharge Adware Prevention (de guigui0001) sur ton bureau.
• Lance-le clique-droit > exécuter en tant qu'administrateur
• Cet outil va simuler une installation bourrée d'adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
• A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
• Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !
  Tutoriel en images

Après avoir posté le rapport DELFIX Vous pouvez marquer votre sujet comme résolu

Voici comment faire


Dans le premier message de ton sujet,En bas clique sur Modifier
Dans l'éditeur qui s'ouvre,En bas clique sur Utiliser l'éditeur complet
Dans la fenêtre du titre du sujet , ajoute [Résolu].
Clique sur le bouton Enregistrer le message modifié pour valider.

Modifié le 23 juin 2015 par tomtom95

[Auzz]

Bonjour,

 

Merci beaucoup !

Voici le rapport DelFix : http://www.cjoint.com/c/EFygy78USdA

 

En ce qui concerne mon système, cela m'a l'air d'être rentré dans l'ordre. J'ai du désinstaller Symantec car il me bloquait le téléchargement de SFTGC, malgré la désactivation effectuée... J'ai installé Avast à la place, que je préfère, et ma foi, après un scan, ne m'a rien détecté.

 

Je n'ai pas l'impression de m'être fait avoir avec des adwares mais n'étant pas infaillible, je vais de ce pas effectuer le test d'adware prévention ^^

 

Encore un grand merci pour votre aide précieuse ! Je vais marqué le sujet comme résolu.

 

Bonne journée

[tomtom95]

Bonjour Auzz,

 

OK, pour le rapport

Prudence sur le net et dans vos téléchargements.

 

Bonne continuation