Se connecter / S'enregistrer
Votre question

Avira infecté, Firefox aussi, Windows security bloque tout

Tags :
  • Firefox
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Janvier 2012 00:22:12

Bonsoir,
En ouvrant un site de création graphique, j'ai semble t-il attrapé un très gros virus, voire plusieurs. Je suis extrêmement inquiète pour mon PC, heureusement que j'ai fait une sauvegarde récemment sur mon DDE. Je vous écris de mon Netbook.
J'ai Avira comme antivirus depuis quelques mois et ça se passait bien mais ce soir, il n'a pas eu le temps de se déclencher: c'est la sécurité de Windows qui a tout bloqué et m'a prévenu que Firefox était infesté par un Trojan et quand j'ai voulu ouvrir Avira, Windows m'a également dit qu'Avira était infesté par le même trojan. Je ne connais pas grand-chose en informatique et je me demande si c'est possible? Le virus serait dans un .exe "avcenter.exe". ("spyware and viruses detected in the background, sensitive system components under attack. Data loss identify theft...")
Windows security m'a fait un scan et me propose de tout supprimer...si je prends leur abonnement à 60$ l'année.
Affolée comme je suis je serai capable de payer mais je voudrais des avis auparavant.

Dans l'immédiat, dois-je éteindre mon ordinateur? J'ai déconnecté Internet(je suis en connexion modem avec 2 autres ordi dans la maison) Je n'ose pas aller me coucher en laissant ouvert mon ordi avec toutes les pop up d'alertes qui s'ouvrent "severe damage system", "tracking sofware found",
Demain, je demanderai de l'aide à mon père, il saura peut-être quoi faire mais pour le moment, je suis assez désemparée.
Merci d'avance pour votre aide!

Autres pages sur : avira infecte firefox windows security bloque

5 Janvier 2012 00:48:56

Désolée pour le double post mais en continuant des recherches, je suis tombée sur le site "le blog informatique" où mon problème est répertorié, avec toute la procédure à suivre qui est expliquée. Je m'en doutais un peu, ce windows security est lui-même un virus qui fait croire à une infection; J'ai déjà eu quelque chose de similaire il y a quelques mois mais c'était moins angoissant, moins envahissant.
Je suis en train de faire ce que le blog recommande(démarrage en mode sans échec et restauration système...je n'ai pas réussi à avoir le mode sans échec, mais j'ai fais la restauration système quand même.)
Maintenant, comment savoir si mon ordi est débarrassé de ce virus "XP windows security"?
Il ne s'ouvre plus(c'est déjà ça!), dois-je faire un scan avec Avira pour être certaine qu'il a disparu?

Merci d'avance!
a c 548 8 Sécurité
a b È Firefox
5 Janvier 2012 11:33:08

Bonjour,

Oui tu es victime d'un rogue, un faux utilitaire de sécurité/optimisation :
http://forum.security-x.fr/malwares-315/(fiches-malware)-roguescareware-et-ransomware/

On va regarder ça :

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    1) Télécharge Rkill (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, et les programmes en cours

  • Double clique sur eXplorer.exe pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir brièvement, puis se refermer
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré ici : C:\Windows\rkill.log)

    /!\ Ne redémarre pas le PC maintenant, passe à l'outil suivant immédiatement /!\


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.scr pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    6 Janvier 2012 18:33:57

    Merci de prendre le temps de m'aider, c'est très gentil.
    Finalement, la restauration n'a pas fonctionné. Dès que j'ai eu rouvert Firefox, le rogue est revenu. J'ai mis fin au processus(il s'appelle HWN.exe chez moi)pour pouvoir lancer Avira qui a mit quelques fichiers en quarantaine mais pas tous visiblement puisque j'avais régulièrement de fausses alertes générées par le rogue.
    J'ai complètement éteint mon ordinateur depuis mercredi soir et là, j'ai quelques heures devant moi donc je vais faire ce que tu me conseille. J'utilise toujours mon Netbook pour l'accès à Internet, je vais le garder à côté de moi.
    Je crains juste(peut-être à tort, mes connaissances en informatiques étant maigres) que lorsque je me connecterai à Internet pour télécharger Rkill, le rogue infecte les autres ordinateurs de la maison(nous sommes sur le même réseaux) J'imagine que le risque est mince...
    Je précise, si cela peut être utile, que je suis sous XP.
    Bon, je me lance, je vais rallumer la bête!
    a c 548 8 Sécurité
    a b È Firefox
    6 Janvier 2012 18:43:37

    Re,

    En aucun cas le rogue ne transitera via ton réseau local de toute manière. Donc tu peux connecter ton pc sans souci.
    Au besoin, tu peux utiliser une clé usb pour transférer les outils d'un pc connecté au pc infecté, et inversement pour les rapport.
    6 Janvier 2012 19:15:36

    (Je viens de m'inscrire, ce qui explique le changement de pseudo)
    C'est déjà ça pour le réseau. Je suis sur mon PC actuellement, j'ai du me battre avec le rogue pour ouvrir Firefox mais à coup de "terminer le processus" j'ai réussi (Au passage, Avira n'a pas voulu faire sa mise à jour, le rogue est-il responsable de cette défaillance? J'essaye de comprendre ce que peut provoquer comme dégâts dans mes logiciels et mes données cette saleté).

    Pour Rkill, ça m'a donné un petit truc de rien du tout dans le bloc-note. Est-ce ça dont tu as besoin?
    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.

    Rkill was run on 06/01/2012 at 18:52:28.
    Operating System: Microsoft Windows XP

    Processes terminated by Rkill or while it was running:

    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Mozilla Firefox\plugin-container.exe
    H:\Documents and Settings\chloe\Mes documents\Téléchargements\eXplorer.exe

    Rkill completed on 06/01/2012 at 18:52:30.

    Pour les rapports:
    http://pjjoint.malekal.com/files.php?id=20120106_k14k61...
    http://pjjoint.malekal.com/files.php?id=20120106_m11o5h...

    J'attends tes directives pour la suite. Merci encore! :) 
    a c 548 8 Sécurité
    a b È Firefox
    6 Janvier 2012 19:48:18

    Re,

    On continu, mais avant quand même ...

    /!\ Windows XP Sp2 n'est plus suivi par Microsoft depuis plusieurs années ! C'est du suicide informatique que de connecter un pc non à jour sur Internet ... ne pas s'étonner de s'être fait infecter ... tu es extrêmement vulnérable au faille de sécurité !
    Y'a-t-il une raison pour que ce PC ne soit pas sous Service pack 3 ?
    Sinon on fera la mise à jour en fin de procédure.

    Si ta version de Windows n'est pas légale, sache que la désinfection peut engendrer de grave dysfonctionnement, merci de m'en avertir avant de commencer la procédure.


    1) Télécharge Unhide (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur Unhide.exe pour le lancer.

  • Une fenêtre noire va s'ouvrir, et le travail va commencer.
  • A la fin ce message va apparaitre, signifiant qu'il a terminé :


  • Ferme l'outil en cliquant sur "OK"


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    MOD - [2012/01/06 18:38:17 | 000,192,512 | ---- | M] () -- C:\Documents and Settings\chloe\Local Settings\Temp\sfamcc00001.dll
    MOD - [2012/01/06 18:38:17 | 000,172,032 | ---- | M] () -- C:\Documents and Settings\chloe\Local Settings\Temp\sfareca00001.dll
    O4 - HKU\S-1-5-21-1123561945-73586283-839522115-1009..\Run: [Snobalutejefif] rundll32.exe "C:\WINDOWS\dmobigf.dll",Startup File not found
    O4 - HKU\S-1-5-21-1123561945-73586283-839522115-1009..\Run: [Zeldar] C:\DOCUME~1\chloe\LOCALS~1\Temp\c.exe File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRemoteRecursiveEvents = 1
    [2012/01/05 00:56:35 | 000,271,872 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\chloe\Local Settings\Application Data\hwn.exe
    [2012/01/06 18:47:15 | 000,018,438 | -HS- | M] () -- C:\Documents and Settings\chloe\Local Settings\Application Data\5v8q85i84npix6mexf7d0f4yf75ne7421503xd
    [2012/01/06 18:47:15 | 000,018,438 | -HS- | M] () -- C:\Documents and Settings\All Users\Application Data\5v8q85i84npix6mexf7d0f4yf75ne7421503xd
    [2010/05/11 14:19:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\chloe\Application Data\Lavasoft
    [2009/01/10 16:27:47 | 000,023,558 | R--- | M] () -- C:\Documents and Settings\chloe\Application Data\Microsoft\Installer\{13922F10-BD74-4912-AB11-E34B35062700}\_18be6784.exe
    [2009/01/10 16:27:47 | 000,023,558 | R--- | M] () -- C:\Documents and Settings\chloe\Application Data\Microsoft\Installer\{13922F10-BD74-4912-AB11-E34B35062700}\_294823.exe
    [4043 H:\Documents and Settings\chloe\Mes documents\*.tmp files -> H:\Documents and Settings\chloe\Mes documents\*.tmp -> ]
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

    :Reg
    [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nlpo_04"=-
    "nlpo_07"=-
    [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nlpo_04"=-
    "nlpo_07"=-
    [HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\shell\open\command]
    "@"=""
    [HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\shell\safemode\command]
    "@"=""
    [HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\shell\open\command]
    "@"=""
    [HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\shell\open\command]
    "@"="C:\Program Files\Mozilla Firefox\firefox.exe"
    [HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\shell\safemode\command]
    "@"=""C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode"
    [HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\shell\open\command]
    "@"="C:\Program Files\Internet Explorer\iexplore.exe"

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    6 Janvier 2012 20:23:41

    Citation :

    /!\ Windows XP Sp2 n'est plus suivi par Microsoft depuis plusieurs années ! C'est du suicide informatique que de connecter un pc non à jour sur Internet ... ne pas s'étonner de s'être fait infecter ... tu es extrêmement vulnérable au faille de sécurité !
    Y'a-t-il une raison pour que ce PC ne soit pas sous Service pack 3 ?
    Sinon on fera la mise à jour en fin de procédure.
    Si ta version de Windows n'est pas légale, sache que la désinfection peut engendrer de grave dysfonctionnement, merci de m'en avertir avant de commencer la procédure.
    Eh bien on dirait que j'ai de la chance de ne pas avoir eu de virus importants...j'en attrape de temps en temps mais mes antivirus(Nod32 jusqu'à il y a quelques mois, Avira depuis)font du bon travail j'imagine.
    Mon PC a 4 ans, c'est mon père qui l'a monté et qui s'est occupé de tout. Pour ce qui est de la légalité de ma version de Windows, je n'en sais rien. J'imagine que la version qu'il a sur son propre ordinateur est légale, pour le mien, je ne sais pas. Pour mon Netbook, acheté il y a 2 ans, je sais que Windows était déjà installé dedans, mais pour mon PC, je doute. Je vais voir ça avec lui et lui demander de l'aide par la même occasion ;) 
    a c 548 8 Sécurité
    a b È Firefox
    6 Janvier 2012 22:16:04

    Re,

    Le rogue a modifié les clés de démarrage des deux navigateurs, c'est pour cela qu'il se relance à chaque fois.

    Mon script comporte des corrections qui vont corriger cela, mais peuvent aussi supprimer le démarrage de clés lié à des "modification" de Windows, donc je préférais m'en assurer avant.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS