Votre question

[RESOLU] Infection goingonearth

Tags :
  • Config PC
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Septembre 2011 11:39:14

Bonjour à tous,

Depuis quelques temps, lorsque je clique sur des résultats de recherche Google je subis des redirections intempestives, notamment sur goingearth qui semble poser des problèmes à de plus en plus de monde.

J'ai essayé de multiples anti-virus, et traqueurs de spywares, malwares, mais rien n'y fait.

Voici ma configuration : Seven x64, Avast Pro, Malware's Byte, toutes les versions sont à jour.


J'aurais aimé corriger le problème tout seul, mais j'ai bien du mal à comprendre comment analyser les rapports ZHP, Hijackthis, ...


Pleaseeee help me :) 


En pièce jointe le rapport ZHP http://www.cijoint.fr/cjlink.php?file=cj201109/cijpSyLBDE.txt


Merci !

Autres pages sur : resolu infection goingonearth

a c 614 8 Sécurité
a b B Config PC
8 Septembre 2011 11:50:20

Bonjour,

Infection bootkit,


Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !



    Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    Contenus similaires
    a c 614 8 Sécurité
    a b B Config PC
    8 Septembre 2011 12:11:17

    Re,


    Ok, la suite :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system64\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system64\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 614 8 Sécurité
    a b B Config PC
    8 Septembre 2011 14:24:03

    Re,

    Ok, j'ai repérer un truc, on va voir si on peut le supprimer :


    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    C:\Windows\Tasks\qjrj.job
    C:\Windows\SysNative\????? /u

    :Commands
    [purity]
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.



    2) Affiche les fichiers et dossiers cachés :
    http://www.inforumatique.fr/forum/afficher-les-fichiers...

    Va sur ce site :
    http://www.virustotal.com/fr/

    Clique sur "Parcourir" puis recherche ce fichier (si présent) :

    C:\Windows\system32\atiumdvae.dll

    Une fois sélectionné, clique sur "Send File", l'envoi va commencer.

    S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Reanalysis"), et/ou laisse faire l'analyse jusqu'à avoir "terminée" en haut, après "current statut"
    Si cela n’envoie rien (taille 0 octet), tente alors de d'abord copier le fichier sur ton bureau puis de l'envoyer de là.

    Copie ensuite l'adresse obtenue à la fin de l'analyse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.
    a c 614 8 Sécurité
    a b B Config PC
    8 Septembre 2011 18:25:16

    Re,

    As-tu bien copié le script que j'ai mis pour OTL avant de lancer la correction ? Apparemment non ...
    a c 614 8 Sécurité
    a b B Config PC
    8 Septembre 2011 20:00:55

    Re,

    Copies-tu bien :



    :OTL
    C:\Windows\Tasks\qjrj.job
    C:\Windows\SysNative\????? /u

    :Commands
    [purity]
    [emptytemp]
    [emptyflash]


    Entièrement et exactement dans la fenêtre du bas de OTL ?
    8 Septembre 2011 20:06:38

    Oui je copie exactement ce script ... :( 
    a c 614 8 Sécurité
    a b B Config PC
    8 Septembre 2011 20:16:58

    Re,

    Refais ceci s'il te plait :


    Relance OTL.exe :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system64\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system64\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, seul le rapport OTL.Txt s'ouvrira cette fois.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 614 8 Sécurité
    a b B Config PC
    8 Septembre 2011 22:38:03

    Re,

    Cela confirme que le script n'est pas passé.
    Mais je pense savoir pourquoi. C'est ma faute.

    Refais ceci maintenant :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.


    :Files
    C:\Windows\Tasks\qjrj.job
    C:\Windows\SysNative\????? /u

    :Commands
    [purity]
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
    8 Septembre 2011 22:47:18

    Et je ne trouve toujours pas le fichier atiumdvae.dll, au cas où ce soit la prochaine démarche :) 
    a c 614 8 Sécurité
    a b B Config PC
    8 Septembre 2011 23:09:32

    Re,

    Non ça ira.

    As-tu encore les redirection maintenant ?
    8 Septembre 2011 23:14:21

    Ce problème arrive au bout d'un certains temps de navigation, ou suite à une manipulation que je n'ai pas identifiée. En tout cas je ne saurais pas le déclencher.

    Merci beaucoup pour ton aide précieuse. J'espère que ça portera ses fruits :) 


    Je te tiens au courant demain dans la journée, après quelques heures d'utilisation.
    a c 614 8 Sécurité
    a b B Config PC
    8 Septembre 2011 23:17:59

    Re,

    Ah bon, ce n'est pas typique des redirection tiens, c'est peut-être pour cela que je n'ai pas trouvé ce que je cherchais ...

    Je voudrais voir un truc, peux-tu faire ceci :

    Va ici :

    C:\_OTL

    Tu vas voir un dossier "moved_files"

    Fais un clic-droit dessus -> envoyer vers -> dossier compressé

    Héberge-le ici par exemple :
    http://dl.free.fr/

    Et donne -moi le lien obtenu s'il te plait.

    8 Septembre 2011 23:45:41

    Le dossier _OTL n'existe pas, ni moved_files
    8 Septembre 2011 23:46:18

    Pardon, j'ai trouvé. Je l'upload
    a c 614 8 Sécurité
    a b B Config PC
    9 Septembre 2011 10:06:52

    Re,

    Ok merci,

    Dommage c'était vide, je pourrais pas vérifier.

    Bon j'attends ton retour pour les redirections alors ;) 
    9 Septembre 2011 10:30:57

    Salut Hyunkel30,

    Qu'est ce qui est vide ? J'ai vérifié l'archive et elle semble correspondre au dossier présent dans c:\_OTL

    Je commence mes tests en croisant les doigts :D 
    14 Septembre 2011 11:31:53

    Salut Hyunkel30, je viens pour cloturer le post.

    Tes opérations ont été fructueuses, je n'ai plus eu de redirections depuis lors.

    Merci encore :) 
    a c 614 8 Sécurité
    a b B Config PC
    14 Septembre 2011 14:31:38

    Re,

    Ok, on nettoie les outils alors :


    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    3) Mise à jour des logiciels :

    Met à jour les programmes suivants :
    - Java vers la version 6 update 27 (pense à supprimer les anciennes version dans ajout/suppression des programmes )



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !



    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    [:_tom_:7]
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS