Se connecter / S'enregistrer
Votre question
Résolu

[Résolu] OTL Aide infecté par un adware

Tags :
  • Chrome
  • Sécurité
  • zeroaccess
  • Adware
Dernière réponse : dans Sécurité et virus
25 Mai 2013 14:38:40

Salut,
J'ai un adware qui m'ouvre des pop up, et crée des liens intext dans chrome(des liens soulignés en vert 2 fois).
J'ai utilisé AdwCleaner qui m'a trouvé des trucs qui ne correspondaient pas à ça (que j'ai quand même supprimé), j'ai fait une analyse malwarebytes qui n'a pas abouti à la suppression de cet adware, j'ai fait aussi avec Spybot, il a trouvé des trucs mais n'a pas résolu mon probleme.
Bref j'ai fait un scan OTL, en mettant ça dans personnalisé :
  1. netsvcs
  2. msconfig
  3. activex
  4. drivers32
  5. /md5start
  6. system.exe
  7. explorer.exe
  8. wininit.exe
  9. winlogon.exe
  10. userinit.exe
  11. svchost.exe
  12. services.exe
  13. /md5stop
  14. %SYSTEMDRIVE%\*.exe
  15. %ALLUSERSPROFILE%\Application Data\*.
  16. %ALLUSERSPROFILE%\Application Data\*.exe /s
  17. %APPDATA%\*.
  18. %APPDATA%\*.exe /s
  19. %systemroot%\*. /mp /s
  20. %systemroot%\Tasks\*.* /s
  21. %systemroot%\system32\*.dll /lockedfiles
  22. %systemroot%\Tasks\*.job /lockedfiles
  23. %systemroot%\system32\drivers\*.sys /lockedfiles
  24. hklm\software\clients\startmenuinternet|command /rs
  25. hklm\software\clients\startmenuinternet|command /64 /rs
  26. CREATERESTOREPOINT


Voila le fichier OTL.txt :
ici

Le fichier Extras.txt :
ici

Merci à tout ceux qui m'aideront !

Autres pages sur : resolu otl aide infecte adware

a c 547 8 Sécurité
a b Ē Google Chrome
25 Mai 2013 22:38:13

Bonsoir,

On va nettoyer cela, mais attention a pas télécharger tout et n'importe quoi, même pour soit-disant protéger et nettoyer le pc ...
Il semblerait par ailleurs que tu ai été infecté par le rootkit zeroacces ...

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java(TM) 6 Update 32 (version obsolète et vulnérable, tu possèdes une plus récente)
- Java(TM) SE Development Kit 6 Update 32
- Java(TM) SE Development Kit 7 Update 3
- Java SE Development Kit 7 Update 4 (idem)
- Adobe Reader 8.3.1 - Français (idem)
- Spybot - Search & Destroy (obsolète et inutile)
- Ad-Aware Antivirus (inutile et entre en conflit avec F-Secure)
- Ad-Aware Security Add-on (idem)
- Advanced SystemCare 6 (inutile et lié à un éditeur à la réputation douteuse)
- IObit Malware Fighter (idem, marketing)
- SpyNoMore 3.00 (pareil, inutile et imite arnaque)

- ZHPDiag 2013 (pas utile ici)


2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.




    3) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    MOD - [2013/01/15 19:47:02 | 000,143,168 | ---- | M] () -- C:\Program Files\IObit\Advanced SystemCare 6\ASCExtMenu.dll
    MOD - [2012/11/13 14:06:32 | 000,158,624 | ---- | M] () -- C:\Program Files\Spybot - Search & Destroy 2\snlFileFormats150.bpl
    MOD - [2012/11/13 14:06:30 | 000,108,960 | ---- | M] () -- C:\Program Files\Spybot - Search & Destroy 2\snlThirdParty150.bpl
    MOD - [2012/11/13 14:06:28 | 000,554,400 | ---- | M] () -- C:\Program Files\Spybot - Search & Destroy 2\VirtualTreesDXE150.bpl
    MOD - [2012/11/13 14:06:28 | 000,528,288 | ---- | M] () -- C:\Program Files\Spybot - Search & Destroy 2\JSDialogPack150.bpl
    MOD - [2012/11/13 14:06:28 | 000,416,160 | ---- | M] () -- C:\Program Files\Spybot - Search & Destroy 2\DEC150.bpl
    MOD - [2012/08/23 09:38:24 | 000,574,840 | ---- | M] () -- C:\Program Files\Spybot - Search & Destroy 2\sqlite3.dll
    SRV - File not found [Disabled | Stopped] -- -- (TuneUp.UtilitiesSvc)
    SRV - File not found [Auto | Stopped] -- C:\Program Files\Spybot -- (SDWSCService)
    SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SDUpdateService)
    SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SDScannerService)
    SRV - [2013/03/18 03:25:46 | 001,236,336 | ---- | M] (Lavasoft Limited) [Auto | Running] -- C:\Program Files\Ad-Aware Antivirus\AdAwareService.exe -- (Ad-Aware Service)
    SRV - [2013/01/15 19:47:10 | 000,465,216 | ---- | M] (IObit) [Auto | Running] -- C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe -- (AdvancedSystemCareService6)
    SRV - [2012/09/20 05:39:12 | 003,677,000 | ---- | M] (GFI Software) [Auto | Stopped] -- C:\Program Files\Ad-Aware Antivirus\SBAMSvc.exe -- (SBAMSvc)
    SRV - [2012/01/09 20:17:44 | 000,821,592 | ---- | M] (IObit) [Auto | Running] -- C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe -- (IMFservice)
    DRV - [2013/05/24 21:07:18 | 000,013,560 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\gfibto.sys -- (gfibto)
    DRV - [2012/07/05 13:53:52 | 000,019,832 | ---- | M] (IObit.com) [Kernel | On_Demand | Stopped] -- C:\Program Files\IObit\IObit Malware Fighter\drivers\wlh_x86\UrlFilter.sys -- (UrlFilter)
    DRV - [2012/07/05 13:53:50 | 000,030,640 | ---- | M] (IObit.com) [Kernel | On_Demand | Running] -- C:\Program Files\IObit\IObit Malware Fighter\drivers\wlh_x86\regfilter.sys -- (RegFilter)
    DRV - [2012/01/05 18:07:28 | 000,020,336 | ---- | M] (IObit) [File_System | On_Demand | Running] -- C:\Program Files\IObit\IObit Malware Fighter\Drivers\wlh_x86\FileMonitor.sys -- (FileMonitor)
    IE - HKU\S-1-5-21-1487582393-3125806793-1390035577-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://securesearch.lavasoft.com/?source=f439e2c0&tbp=homepage&toolbarid=adawaretb&v=2_5&u=48371D3853C648A969455D519FB74E5F
    IE - HKU\S-1-5-21-1487582393-3125806793-1390035577-1002\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://lavasoft.blekko.com/ws/?source=f439e2c0&tbp=rbox&toolbarid=adawaretb&u=48371D3853C648A969455D519FB74E5F&q={searchTerms}
    FF - prefs.js..browser.search.selectedEngine: "SecureSearch"
    FF - prefs.js..browser.startup.homepage: "http://securesearch.lavasoft.com/?source=f439e2c0&tbp=homepage&toolbarid=adawaretb&v=2_5&u=48371D3853C648A969455D519FB74E5F"
    [2013/05/24 21:08:45 | 000,000,000 | ---D | M] (Ad-Aware Security Add-on) -- C:\Users\Gaëtan\AppData\Roaming\mozilla\Firefox\Profiles\y2lrfm7a.default\extensions\{87934c42-161d-45bc-8cef-ef18abe2a30c}
    [2013/05/24 21:05:41 | 000,000,000 | ---D | M] (Lavasoft Search Plugin) -- C:\Users\Gaëtan\AppData\Roaming\mozilla\Firefox\Profiles\y2lrfm7a.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
    [2013/05/24 20:33:37 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Gaëtan\AppData\Roaming\mozilla\Firefox\Profiles\y2lrfm7a.default\extensions\staged
    [2013/05/24 21:05:31 | 000,000,628 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\adawaretb.xml
    O2 - BHO: (Ad-Aware Security Add-on) - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - C:\Program Files\adawaretb\adawareDx.dll ()
    O2 - BHO: (Advanced SystemCare Browser Protection) - {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} - C:\PROGRA~1\IObit\ADVANC~3\BROWER~1\ASCPLU~1.DLL (IObit)
    O3 - HKLM\..\Toolbar: (Ad-Aware Security Add-on) - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - C:\Program Files\adawaretb\adawareDx.dll ()
    O3 - HKU\S-1-5-21-1487582393-3125806793-1390035577-1002\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O4 - HKLM..\Run: [Ad-Aware Antivirus] C:\Program Files\Ad-Aware Antivirus\AdAwareLauncher.exe (Lavasoft Limited)
    O4 - HKLM..\Run: [Ad-Aware Browsing Protection] C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe (Lavasoft)
    O4 - HKLM..\Run: [IObit Malware Fighter] C:\Program Files\IObit\IObit Malware Fighter\IMF.exe (IObit)
    O4 - HKLM..\Run: [SDTray] C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.)
    O4 - HKLM..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup File not found
    O4 - HKU\S-1-5-21-1487582393-3125806793-1390035577-1002..\Run: [Spybot-S&D Cleaning] C:\Program Files\Spybot - Search & Destroy 2\SDCleaner.exe (Safer-Networking Ltd.)
    O33 - MountPoints2\{4d8413f9-9461-11e2-bbcc-001e68d0e326}\Shell - "" = AutoRun
    O33 - MountPoints2\{4d8413f9-9461-11e2-bbcc-001e68d0e326}\Shell\AutoRun\command - "" = F:\_aomg.exe
    O37 - HKU\S-1-5-21-1487582393-3125806793-1390035577-1002\...exe [@ = exefile] -- Reg Error: Key error. File not found
    MsConfig - StartUpReg: [b]Advanced SystemCare 6[/b] - hkey= - key= - C:\Program Files\IObit\Advanced SystemCare 6\ASCTray.exe (IObit)
    [2013/05/24 21:31:34 | 000,000,000 | ---D | C] -- C:\Users\Gaëtan\AppData\Local\adawarebp
    [2013/05/24 21:24:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Ad-Aware Antivirus
    [2013/05/24 21:14:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
    [2013/05/24 21:14:19 | 000,015,224 | ---- | C] (Safer Networking Limited) -- C:\Windows\System32\sdnclean.exe
    [2013/05/24 21:14:12 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy 2
    [2013/05/24 21:11:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ad-Aware Antivirus
    [2013/05/24 21:11:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Lavasoft
    [2013/05/24 21:11:12 | 000,000,000 | ---D | C] -- C:\Program Files\Ad-Aware Antivirus
    [2013/05/24 21:06:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Search Protection
    [2013/05/24 21:06:30 | 000,000,000 | ---D | C] -- C:\ProgramData\blekko toolbars
    [2013/05/24 21:06:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Ad-Aware Browsing Protection
    [2013/05/24 21:04:44 | 000,000,000 | ---D | C] -- C:\Program Files\adawaretb
    [2013/05/24 21:03:08 | 000,000,000 | ---D | C] -- C:\Users\Gaëtan\AppData\Roaming\Ad-Aware Antivirus
    [2013/05/24 20:15:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyNoMore
    [2013/05/24 14:34:23 | 000,000,000 | ---D | C] -- C:\Program Files\ZHPDiag
    [2013/05/24 14:34:23 | 000,000,000 | ---D | C] -- C:\ZHP
    [2013/05/19 18:55:42 | 000,044,424 | ---- | C] (GFI Software) -- C:\Windows\System32\sbbd.exe
    [2013/05/19 18:55:42 | 000,013,560 | ---- | C] (GFI Software) -- C:\Windows\System32\drivers\gfibto.sys
    [2013/05/24 21:14:27 | 000,001,963 | ---- | M] () -- C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk
    [2013/05/24 22:52:40 | 000,000,000 | ---D | M] -- C:\Users\Gaëtan\AppData\Roaming\Ad-Aware Antivirus
    [2013/05/02 10:11:40 | 000,000,000 | ---D | M] -- C:\Users\Gaëtan\AppData\Roaming\IObit
    [2013/05/19 19:03:11 | 000,000,000 | ---D | M] -- C:\Users\Gaëtan\AppData\Roaming\LavasoftStatistics
    @Alternate Data Stream - 152 bytes -> C:\ProgramData\TEMP:F4CA4D70
    @Alternate Data Stream - 115 bytes -> C:\ProgramData\TEMP:98781370


    :Files
    C:\Program Files\IObit


    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\



    4) Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    26 Mai 2013 18:37:01

    Alors le rapport OTL : ici
    Le rapport Adwcleaner : ici
    RogueKiller : http://

    Encore merci de m'aider
    m
    0
    l
    Contenus similaires
    a c 547 8 Sécurité
    a b Ē Google Chrome
    26 Mai 2013 22:19:49

    Re,

    Holà, faut se calmer avec Adware cleaner hein ...
    Vaudrait mieux éviter d'installer des sponsors à tout va plutôt que passer 15 fois le logiciel ;) 

    à faire pour la suite :

    1) Relance RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Suppression en haut à droite.
    (Note : si le bouton est grisé, lance d'abord un scan pour qu'il devienne actif)
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)


    2) Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )

    :jap: 
    m
    0
    l
    27 Mai 2013 21:28:24

    Salut !
    Farbar : http://
    RogueKiller : http://

    Depuis que j'ai fait la suppression RogueKiller mon écran se trouble et se fige quelques secondes apres mon entrée sur ma session.
    En mode sans échec avec prises en charge réseau, il ne se fige pas mais je n'ai pas accès à internet.
    J'ai plusieurs points de restauration.
    Merci !!
    m
    0
    l
    a c 547 8 Sécurité
    a b Ē Google Chrome
    27 Mai 2013 22:09:58

    Re,

    La désinfection n'est pas terminée, donc on va attendre d'avoir fini pour régler ce genre de souci.

    Tu es bien infecté par le rootkit zeroaccess, et il a endommagé fortement le système.

    Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Change parameters".
  • Coche la case Loaded modules
  • Valide l'avertissement de Reboot avec Reboot Now

  • Le pc va redémarrer, au redémarrage, accepte le lancement automatique de l'outil

  • Clique de nouveau sur le bouton "Change parameters"
  • Coche les cases Verify file digital signatures et Detect TDLFS file system sous Additional options
  • Valide avec Ok


  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer. (cela peut être long)

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

    Note : si No threat found apparait, pas besoin de nous fournir le rapport ni chercher ces options

  • Il peut t'être demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.

    Un aide à l'utilisation ici
    m
    0
    l
    28 Mai 2013 08:23:41

    Salut,
    J'ai fait comme tu m'a dit et durant le scan une fenetre s'ouvre pour me dire que je suis infecté par Variant.Symmi:xxxx mais à la fin du scan, il ne trouve que des Suspicious Objects.
    Je précise que j'ai fait le scan en mode sans échec avec prise en charge réseau, vu que mon ordi ne marche plus en mode normal.

    http://
    m
    0
    l
    a c 547 8 Sécurité
    a b Ē Google Chrome
    28 Mai 2013 10:24:02

    Re,

    Il ne t'as pas indiqué quel fichier il détectait cela ?
    Rien sur le rapport effectivement, mais il peut l'avoir détecté dans la quarantaine d'un des outils déjà utilisé ...

    Refais-moi ceci s'il te plait :

    Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    afd.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    dir C:\ /S /A:L /C
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau

    m
    0
    l
    28 Mai 2013 18:56:40

    Salut,
    Donc c'est une fenetre F-Secure qui me dit lors de l'analyse qu'il est détecté dans System32/afd.sys.
    D'ailleurs le rapport Farbar me disait "ATTENTION!=====> C:\Windows\system32\Drivers\afd.sys IS INFECTED AND SHOULD BE REPLACED. "

    Voici les rapports demandés :
    Rapport OTL : http://
    Extras : http://

    Encore merci
    m
    0
    l
    29 Mai 2013 18:04:34

    Alors, que faire ?
    m
    0
    l

    Meilleure solution

    a c 547 8 Sécurité
    a b Ē Google Chrome
    29 Mai 2013 19:06:28

    Bonsoir,

    Désolé, comme tu n'avais pas mis les rapports lors de ta première réponse, j'attendais ton retour, puis tu as édité ensuite pour les ajouter, et je n'ai pas été averti de cette édition de message.
    Veille à toujours créer une nouvelle réponse si tu édites pour que je sois averti ;) 

    Le rootkit est toujours présent, mais cette fois, j'ai les infos pour le traiter entièrement normalement.

    On y va :

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\invgtd.sys -- (gfeq)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
    DRV - File not found [Kernel | Auto | Stopped] -- -- (adfs)
    FF - prefs.js..browser.startup.homepage: "http://securesearch.lavasoft.com/?source=f439e2c0&tbp=homepage&toolbarid=adawaretb&v=2_5&u=48371D3853C648A969455D519FB74E5F"
    O8 - Extra context menu item: Download with &Shareaza - res://c:\program files\shareaza\razawebhook32.dll/3000 File not found

    :Files
    C:\Program Files\Enigma Software Group
    C:\Windows\$NtUninstallKB11841$
    C:\Windows\System32\drivers\afd.sys|C:\Windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.0.6002.22629_none_da4bc33774b91967\afd.sys /replace
    C:\Windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.0.6002.18457_none_d99fb42e5bb59d9b\afd.sys|C:\Windows\winsxs\x86_microsoft-windows-winsock-core_31bf3856ad364e35_6.0.6002.22629_none_da4bc33774b91967\afd.sys /replace

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    2) Relance FSS :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    partage
    29 Mai 2013 19:31:55

    Salut !
    OTL : http://
    FSS : http://

    J'ai maintenant accès à internet en mode sans echec avec prise en charge réseau !
    Par contre le mode normal ne marche plus du tout...
    m
    0
    l
    a c 547 8 Sécurité
    a b Ē Google Chrome
    29 Mai 2013 19:38:34

    Re,

    Jusqu'où le pc démarre-t-il en mode normal ?
    Qu'est-ce qui se passe exactement ?

    C'est depuis le début que tu ne peux plus démarrer en mode normal ? (ou suite au passage d'un outil de ton propre chef par exemple, etc ...)
    m
    0
    l
    29 Mai 2013 19:48:50

    En fait je me suis trompé après avoir dit qu'il ne trouvait pas un certain fichier 054A46F6-DD8D-485F-966F-5594B6077B55.exe je ferme l'avertissement et cela semble marcher
    m
    0
    l
    a c 547 8 Sécurité
    a b Ē Google Chrome
    29 Mai 2013 19:54:52

    Re,

    Tu peux me donner exactement le message d'erreur à l'ouverture s'il te plait ? s'il signale un fichier donne-moi l'emplacement exact et complet.

    :jap: 
    m
    0
    l
    29 Mai 2013 20:12:23

    En fait je pense que ça avait rapport avec la suppression OTL d'avant, parce qu’après avoir fermé l'avertissement, il m'ouvre le rapport OTL d'avant, mais je l'avais pris quand j'étais en mode sans echec et du coup il a du le rouvrir quand j'ai fait en mode normal?
    Bref je vais reboot mon ordi pour voir si ça le refait après.
    m
    0
    l
    29 Mai 2013 20:18:52

    Voilà, il n'y a plus l'avertissement, tout semble marcher et je n'ai plus les liens soulignés avec les pubs.
    Merci beaucoup pour toute ton aide !
    m
    0
    l
    a c 547 8 Sécurité
    a b Ē Google Chrome
    29 Mai 2013 22:16:28

    Re,

    Ouais c'est ce que je pensais parce qu'il avait besoin d'un redémarrage pour terminer.

    Mais attends, nous sommes loin d'en avoir terminer, nous devons réparer les dégât du rootkit sur le système maintenant :

    1) Télécharge Windows Repair (de Tweaking.com) sur ton bureau.

  • Double-Clic dessus pour l'installer puis lance-le.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Va directement à l'onglet "step 3"

  • Clique sur le bouton Do It, et laisse le scan s'effectuer.

  • Ferme le programme et redémarre le PC

  • Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
  • Clique sur le bouton"Start"
  • Dans la fenêtre suivante, coche exactement ces options :


  • Clique enfin sur "Start" en bas à droite.
  • Redémarre le pc s'il ne le fait pas automatiquement.

    2) Relance FSS :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    31 Mai 2013 13:18:46

    J'ai bien fait ce que tu m'as demandé et voici le scan FSS : http://
    m
    0
    l
    a c 547 8 Sécurité
    a b Ē Google Chrome
    31 Mai 2013 14:20:31

    Re,

    Très bien, toutes les réparations semblent avoir été correctement effectuées.

    Le parefeu Windows est désactivé, mais c'est parce que tu as celui d'Orange/F-secure normalement, ce dernier est-il bie actif ? confirme-moi cela s'il te plait

    Dis-moi ensuite si tu as encore des problèmes liés aux symptômes initiaux

    :jap: 
    m
    0
    l
    31 Mai 2013 15:42:20

    Salut, oui le pare-feu orange est actif et je n'ai plus de symptômes
    Merci beaucoup
    m
    0
    l
    a c 547 8 Sécurité
    a b Ē Google Chrome
    31 Mai 2013 16:53:38

    Re,

    très bien, on termine par du ménage des outils utilisés, et des conseils :

    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner.exe sur ton bureau.

    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement si encore présent :
    - Roguekiller
    - FSS.exe
    - Windows repair (se désinstalle via la liste des programmes)
    - TDSSKiller

    ---------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )


  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
    Ou utiliser un outil comme SXCU pour vérifier occasionnellement.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    1 Juin 2013 21:41:11

    C'est bon c'est fait et merci encore
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS