[Résolu] Pc infecté par lien dans une conversation WLM

[skynet]

Bonjour,

Depuis lundi soir, le PC de mon fils est infecté par je ne sais pas quelle saleté qu' AVG n'a pas détectée.
N'ayant aucune nouvelle de mon forum informatique habituel, je fais appel à vous car je suis vraiment dans la ***.

La page d'accueil habituelle a été modifiée et je reçois un message d'alerte me disant que les mises à jours automatiques ont été désactivées. Et l'icône Windows Live Messenger s'affiche dans la zone de notification alors que le programme a été fermé.Et si je clique pour que l'icône n'apparaisse plus, elle réapparaît.

J'ai déjà commencé le travail habituel de nettoyage en désactivant la restauration système, en rétablissant les MAJ automatiques et mettant une page vierge en page d'acueil Internet à la place de la fausse page Google. J'ai déjà eu a2articles.com (lundi et mardi) et go2article.info (aujourd'hui) comme fausse page d'accueil.

Je voulais télécharger Malewarebyte's et faire un premier scan, mais quel que soit le site où je vais, l'ordinateur refuse le téléchargement: "les paramètres de sécurité actuels ne vous permettent pas de télécharger ce fichier". Je ne sais plus quoi faire.

Voilà les informations les plus urgentes. Au besoin, je peux vous faire un copier-coller de ce que j'avais posté mardi sur l'autre forum.

Merci à vous.

PS: je vous écrit pour l'instant depuis un autre ordinateur

[Coram2007]

Bonjour !

si tu arrive à accéder à un autre ordi, alors pourquoi pas télécharger malware bytes de cette ordi en question et puis l'installer sur l'ordi infecté ?

les clés usb c'est pas ce qui manque ces jours-ci !!

à te lire !!

[skynet]

Bonjour, merci pour ta réponse.

Je ne sais pas comment c'est arrivé, mais j'ai fini par pouvoir installer le programme. En fait, j'ai eu une fenêtre Shaerazza qui s'est ouverte ( mon fils avait installé ce programme il y a quelques temps) et j'ai pu télécharger et installer le programme en passant par là.

J'ai déjà fait une analyse rapide, et Malewarebyte a trouvé et supprimé 12 infections qui sont mises en quarantaine. Au redémarrage du PC en mode normal, je n'ai plus eu l'alerte avec les mises à jour, et ma page d'accueil est bien Google.be(je l'avais remise avant un autre essai de téléchargement qui n'a pas abouti).

Maintenant, j'ai redemandé une analyse complète car il y a encore le disque dur D et le disque dur externe à vérifier.Je reviendrai poster le 1er rapport, et si il y a encore des infections avec ce 2° scan, je posterai le 2° rapport aussi.

Et dans la foulée, j'ai installé MWByte sur ce pc-ci et là le téléchargement et l'installation se sont déroulées normalement.

PS: il faudra que tu m'expliques comment on fait pour copier un programme d'un ordi vers un autre en passant par une clé USB ou un disque dur externe ( ça, je ne sais pas comment on fait)

[skynet]

Résultat du scan Maleware bytes (il n'y a que le disque C qui est infecté):

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Version de la base de données: 4148

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

27/05/2010 15:20:29
mbam-log-2010-05-27 (15-20-29).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 112748
Temps écoulé: 8 minute(s), 44 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c7b35c51-4f1c-1e15-d0fe-24c5e2480543} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c7b35c51-4f1c-1e15-d0fe-24c5e2480543} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e1ec50ad-66f3-3f2e-9cc5-d9bc0d37e6bd} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e1ec50ad-66f3-3f2e-9cc5-d9bc0d37e6bd} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fb28ed67-665a-069d-f792-c5e95959d075} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{fb28ed67-665a-069d-f792-c5e95959d075} (Adware.AdRotator) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\firewall administrating (Worm.Bot.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\firewall administrating (Worm.Bot.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\firewall administrating (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\infocard.exe (Worm.Bot.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\mdll.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\wintybrd.jpg (Malware.Trace) -> Quarantined and deleted successfully.

Je ne sais pas si je dois vider la quarantaine d'initiative, alors je vais laisser tout comme ça en attendant de l'aide.

PS: j'ai résolu le problème des paramètres de sécurité en rétablissant le niveau de sécurité IE par défaut.

[Troll]

Salut Skynet,


Je te conseille de télécharger une version d'essai de Kaskpersy.

Tu désactive ensuite totalement AVG (le plus totalement possible !) et tu installes Kaspersky.

Tu désactives la restauration système : clic droit poste de travail -> propriétés -> onglet "restauration système" -> décocher la case 'surveiller...' et répondre oui au message.
Tu mets kaspersky à jour.
Tu redémarre...
Tu lance un scan de tout ton ordinateur avec tous les paramètres au plus élevé (scan des archives, etc.)
À la fin du scan, tu appliques les actions par défaut proposées par kaspersky.
Tu enregistre le log au format texte et tu nous le poste pour qu'on puisse voir un peu ce qu'il a trouvé.
Tu ne désinstalle pas tout de suite kaspersky (en principe tu as 30jours) et tu ne réactives pas tout de suite ni AVG ni la restauration système, on te dira de le faire tout à la fin.

[skynet]

J'ai téléchargé la version d'évaluation d'antivirus 2010 de Kaspersky, mais j'ai été désobligée de désinstaller AVG Free 8.5 (version anglaise) pour pouvoir insaller Kaspersky. Désactiver la protection en temps réel et désactiver le scan programmé d'AVG ne suffisait pas.
Mais j'ai eu beaucoup de mal à désinstaller AVG. Je vous passe les détails. Du coup, j'ai abandonné Kaspersky et j'ai réinstallé AVG Free 9.0 (verion française, cette fois) , non sans mal également: le lien correct pour cette version n'est pas facile à retrouver. Ils sont déjà passés à la version 9.1, mais je ne parviens pas à l'installer en version gratuite.

Notez que depuis mon dernier passage ici, j'ai vidé la quarantaine Malewarebyte, et que je n'ai pas eu de nouveaux problèmes. Les scans que j'ai refaits ne détectent plus rien. Ceci dit, mon fils n'est pas encore retourné sur Windows Live Messenger à partir de son ordinateur.

Maintenant, pourqu'on soit sûrs que tout est en ordre, je vous propose à la place de vous envoyer un rapport de scan HijackThis. Ca sera plus simple.

[AngeFMR]

Bonsoir à tous,

En attente de ton rapport HJT oui pour davantage de sûreté

[skynet]

OK, je vous enverrai ce rapportdès que j'aurai scanné le pc. Vous me conseillez un scan hors connexion ou alors quand l'ordinateur est connecté à Internet? Quelle différence y a-t-il au niveau du scan selon qu'il soit fait hors connexion ou pas?

[skynet]

Je viens de terminer le scan Hijackthis. Je l'ai fait hors connection comme indiqué dans le tutoriel "procédure d'éradication des maleware". Mais j'aimerais bien que vous m'expliquiez pourquoi il faut faire ce scan hors connexion

Voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:06:57, on 03/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
D:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
D:\ATnotes\ATnotes.exe
D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - G:\Dossier Mathieu\Programme\Shareaza\RazaWebHook32.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] D:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ATnotes.lnk = D:\ATnotes\ATnotes.exe
O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Download with &Shareaza - res://G:\Dossier Mathieu\Programme\Shareaza\RazaWebHook32.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msg...b56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsu...8792468253
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsof...8821561093
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/sh...wflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

--
End of file - 6373 bytes

[AngeFMR]

Bonsoir :

A 'fixer' et supprimer dans ce rapport :


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - G:\Dossier Mathieu\Programme\Shareaza\RazaWebHook32.dll

O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - G:\Dossier Mathieu\Programme\Shareaza\RazaWebHook32.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')