Votre question
Résolu

Infection cheval de troie Google update détecté par Avast

Tags :
  • Google Earth
  • Trojan
  • Google
  • Avast
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Janvier 2014 23:32:30

Bonjour et bonne année 2014,

Je viens d'arriver sur le forum, qui est très riche ! (merci) et j'ai le soucis suivant :

J'ouvre un topic car j'ai eu une attaque par cheval de troie de Google update reporté par Avast et qui a conduit à une désactivation d'Avast.
En lisant les topics, j'ai réussi à réintaller la dernière version d'Avast et supprimer Google Earth de mon PC. L'alerte n'apparait plus même après un scan minutieux complet.
J'aimerais profiter de votre expertise pour savoir si le problème a été complètement traité.
J'ai lancé un scan de mon PC avec l'outil OTL en utilisant les commandes proposées par chantal11 dans le topic suivant : "Un cheval de troie détecté par mon antivirus et ineffaçable [Resolu]"
Je peux vous les transmettre si cet outil vous convient.

Autres pages sur : infection cheval troie google update detecte avast

a c 1009 8 Sécurité
a b á Google
3 Janvier 2014 08:23:13

Bonjour,

Et Bonne année :) 


Citation :
J'ai lancé un scan de mon PC avec l'outil OTL

Alors, non, justement, nous allons utiliser un autre outil.
Je pense que ton système est infecté par le rootkit ZeroAccess, une infection coriace et qui fait beaucoup de dégâts sur le PC.

Donc à faire :

---------------------------------------------------------------------------------------------

FRST :

  • Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse

  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports FRST.txt et Addition.txt

    @+
    m
    0
    l
    3 Janvier 2014 11:14:55

    Bonjour,

    Merci pour cette prise en charge rapide. ;-)
    Désolé pour ma réponse précédente, j'ai dû faire une erreur de manip pour répondre.

    Je viens de lancer l'analyse avec l'outil FRST, mais l'outil s'est arrêté brutalement en cours d'analyse au bout de 2 minutes environ. J'ai uniquement le rapport FRST.txt et pas le fichier addition.txt.
    En revanche, je vous joins le rapport d'erreur suite à la fermeture de l'outil.

    Le fichier FRST.txt :
    http://up.security-x.fr/file.php?h=R2d4f058f4b3d74eeef1...
    Voici l'image de l'erreur remontée par l'outil :
    http://up.security-x.fr/file.php?h=R2b58f0ef41fcbf70521...
    le fichier d'erreur :
    http://up.security-x.fr/file.php?h=R2624d3a955f68862fff...

    @+
    m
    0
    l
    Contenus similaires
    a c 1009 8 Sécurité
    a b á Google
    3 Janvier 2014 12:29:59

    Re,

    Nous allons faire autrement.
    Le rapport FRST est incomplet.

    Désinstalle Spybot - Search & Destroy (obsolète et risque d'interférer dans la désinfection)

    ---------------------------------------------------------------------------------------------

    RogueKiller :

    • Télécharge RogueKiller (pour un système 32 bits) ou RogueKiller x64 (pour un système 64 bits) de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
    • /!\ Important -> Quitte tous les programmes en cours
    • Double-clique sur RogueKiller.exe sur ton Bureau
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Accepte l'EULA du programme
    • Patiente le temps du Prescan, puis clique sur Scan

    • Clique sur Rapport et poste ce rapport dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    ---------------------------------------------------------------------------------------------

    Malwarebytes Anti-Rootkit :

    • Télécharge Malwarebytes Anti-Rootkit et enregistre le sur le Bureau
    • Décompresse le dossier mbar-x.xx.x.xxxx.zip (clic-droit -> Extraire tout)
    • Dans le dossier mbar, double-clique sur le fichier mbar.exe pour lancer l'application
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Next, puis sur Update
    • Patiente le temps de la mise à jour, jusqu'au message de réussite Success : Database was successfullly updated, puis clique sur Next
    • Vérifie que les cases Drivers, Sectors, System soient cochées et clique sur Scan
    • Patiente le temps de l'analyse
    • A la fin du scan, si des éléments ont été détectés, clique sur Cleanup
    • Si un redémarrage est demandé, clique sur Yes et redémarre le système
    • Poste le rapport mbar.log.

      ----------------------------------------------------------------------------------------------

      Sont attendus les rapports :
      RogueKiller
      mbar


      @+
    m
    0
    l
    a c 1009 8 Sécurité
    a b á Google
    3 Janvier 2014 17:58:03

    Re,

    OK on continue.

    ---------------------------------------------------------------------------------------------

    RogueKiller :

    • /!\ Important -> Quitte tous les programmes en cours
    • Double-clique sur RogueKiller.exe sur ton Bureau
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Patiente le temps du Prescan, puis clique sur Scan
    • Clique sur Suppression

    • Clique sur Rapport et poste ce rapport dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    ---------------------------------------------------------------------------------------------

    Ensuite, tu tentes de relancer FRST.exe par clic-droit -> Exécuter en tant qu'administrateur, coche la case Addition.txt, puis tu cliques sur le bouton Scan pour lancer une nouvelle analyse et tu postes les nouveaux rapports FRST.txt et Addition.txt.

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    RogueKiller-Suppression
    FRST.txt et Addition.txt

    @+
    m
    0
    l
    a c 1009 8 Sécurité
    a b á Google
    3 Janvier 2014 22:30:23

    Re,

    Désinstalle pdfforge Toolbar

    --------------------------------------------------------------------------------------------------------------

    FRST - Correctif :

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      URLSearchHook: HKCU - (No Name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll No File
      SearchScopes: HKCU - DefaultScope {28AE5999-6C61-486E-A8F9-7DC9B338C065} URL = http://www.google.fr/search?client=firefox-a&rls=org.mozilla%3Afr-FR%3Aofficial&channel=s&hl=fr&source=hp&q={searchTerms}&meta=
      SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
      BHO: No Name - {D1EAFE2F-A8BE-48A6-AD69-585D2182333F} - C:\WINDOWS\System32\ssqRKaab.dll No File
      BHO: No Name - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - No File
      Toolbar: HKCU - No Name - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No File
      Hosts:
      2014-01-03 13:50 - 2004-11-21 17:42 - 00000000 ____D C:\Program Files\Spybot - Search & Destroy
      C:\Program Files\pdfforge Toolbar
      C:\Documents and Settings\Laurent\Local Settings\Temp\ntdll_dump.dll
      C:\Documents and Settings\Laurent\Local Settings\Temp\{55CD4482-8549-40BF-A165-5902A9B03A2A}-GoogleUpdateSetup.exe
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

    /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    AdwCleaner - Nettoyer :

    • Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Scanner
    • Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
    • Patiente le temps de l'analyse et valide le message d'informations
    • Un redémarrage est demandé, valider par OK
    • Au redémarrage, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(S).txt


  • Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

    Tutoriel d'utilisation AdwCleaner en images

    En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

    --------------------------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    Fixlog
    AdwCleaner


    @+
    m
    0
    l
    a c 1009 8 Sécurité
    a b á Google
    4 Janvier 2014 09:22:08

    Bonjour,

    Comment se comporte le système maintenant ?
    Plus d'alertes avec Avast ?


    ---------------------------------------------------------------------------------------------

    Installe la dernière version Java :

    Désinstalle Java(TM) 6 Update 45

    Télécharge et installe cette dernière version Java

    Pense à décocher la barre Ask qui est proposée


    ---------------------------------------------------------------------------------------------

    Un contrôle des extensions avec cet outil :

    SX Check&Update :

    • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur SXCU.exe pour lancer l'application
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Au menu principal, clique sur le bouton Rapport
    • Poste le rapport_SX.txt dans ta prochaine réponse.


  • Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXCU.exe est sûr)

    ---------------------------------------------------------------------------------------------

    Est attendu le rapport SXCU

    Ensuite, si tu confirmes que tout va bien, nous pourrons finaliser avec les dernières procédures.

    @+
    m
    0
    l
    4 Janvier 2014 15:24:25

    Bonjour,

    J'ai mis à jour Java en désinstallant la version JAVA 6 et en installant la dernière version. Par contre, il ne m'a pas proposé / je n'ai pas vu d'installation d'une barre de navigation comme tu l'évoquais dans ta réponse.
    J'ai fait un tour sur Firefox, Internet explorer et dans le panneau de configuration pour vérifier mais je n'ai rien vu de nouveau correspondant à la barre ASK.

    Le système se comporte bien et je n'ai plus d'alerte d'Avast (mais c'était déjà le cas avant toutes ces corrections comme évoqué au début de mon post).

    Voici le rapport SXCU :
    http://up.security-x.fr/file.php?h=R1645b1a3e622019baa9...

    Pour la suite, en plus des recommandations de sécurité lié à l'utilisation d'internet, pourrais-tu m'indiquer s'il y a des outils particuliers à lancer régulièrement en maintenance pour vérifier qu'il n'y a pas de malware installés à mon insu ?
    Merci
    m
    0
    l

    Meilleure solution

    a c 1009 8 Sécurité
    a b á Google
    4 Janvier 2014 18:27:12

    Re,

    OK, tout est à jour.

    Nous allons donc pouvoir finaliser.

    ---------------------------------------------------------------------------------------------

    DelFix :

    • Sur cette page, télécharge DelFix de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône Delfix.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, coche uniquement les options
      - Supprimer les outils de désinfection
      - Purger la restauration système

    • Clique ensuite sur Exécuter et laisse l'outil travailler

    • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\DelFix.txt


  • ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :

    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
      Pourquoi et comment je me fais infecter ?

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
      Maintenir Java, Adobe Reader et le player Flash à jour
      Exploitation SWF/PDF et Java - système non à jour = danger


    • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.

    @+
    partage
    4 Janvier 2014 20:46:36

    Bonsoir,

    Merci encore pour ta disponibilité et ta compétence !
    Je vais suivre tes conseils et utiliser l'outil Malwarebytes pour faire des scans réguliers.

    L'outil Delfix a bien fait le ménage sur le bureau pour supprimer les outils installés.
    - voici le rapport associé : DelFix.txt
    http://up.security-x.fr/file.php?h=R08c51c1870264619c7d...
    m
    0
    l
    a c 1009 8 Sécurité
    a b á Google
    4 Janvier 2014 21:35:06

    Avec plaisir ;) 

    Et bonne continuation :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS