FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[parasited]

Bonjour à vous,

Tout d'abord merci pour les tutos que vous partagez via ce forum et qui m'ont appris les bases de la lutte contre les virus... Depuis hier j'en suis envahie, j'ai flairé d'où ça venait (un site où d'habitude je regarde la série "big bang theory" en streaming, j'en était à l'épisode 11 et bim plein de fenêtres foireuses qui s'ouvrent de partout...)... L'ordi rame, j'ai notamment des liens aléatoires sur mes pages internet vers un certain "PirritSuggestor", des bannières porno etc. J'ai suivi vos instructions (http://www.forum-entraide-informatique. ... -suggestor) et scanné le PC avec AdwCleaner, Junkware Removal Tool, Malwarebytes' AntiMalware, Shortcut_Module, chacun a trouvé des fichiers infectés et effectué des corrections.

AdwCleaner: http://cjoint.com/?0EEsJJ6pKTk
Junkware Removal Tool: http://cjoint.com/?0EEsKs2ECqJ
Malwarebytes' AntiMalware: http://cjoint.com/?0EEsLgaOzQS
Shortcut_Module: http://cjoint.com/?0EEsLVy0u7o

J'ai ensuite réinitialisé Firefox, toujours les mêmes symptômes, fait tourné Avast "scan minutieux" qui n'a relevé aucun fichier problématique cette fois.

Voilà, j'espère vous avoir apporté les précisions nécessaires pour recevoir un petit coup de pouce!
Merci d'avance,
Elise

[g3n-h@ckm@n]

salut

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[parasited]

Whaou, merci pour la rapidité!!!

Alors je viens d'effectuer la tache:

OTL: http://cjoint.com/?0EEtqkRGvzl
Extras: http://cjoint.com/?0EEtq3rp9Vr

Merci encore pour la prise en charge

PS: au moment où j'ai écrit mon 1er message il y a avait les pseudo-liens plein la page, maintenant ils semblent avoir disparu... le PC reste lent, peut-être qu'il faut un certain délai pour que les correctifs des anti-virus entrent en action?

[g3n-h@ckm@n]

coucou

ce ne sont pas des antis-virus ce sont des outils de désinfection lol les antivirus ne détectent pas cela ^^

quels symptomes reste-t-il ?

pS :

je comprends pas t'as Norton ET Avast ou t'as changé d'antivirus entre temps ?

[parasited]

Ouais ok moi je n'y connais rien du tout! Le PC reste lent, et à nouveau il y a des liens vers PirritSuggestor sur les messages de ce post. Un moment tout à l'heure ça semblait être revenu en ordre... Par contre sur un autre forum ou cet après-midi il y avait beaucoup de "faux liens" maintenant je n'en vois plus.

Il devait y avoir Norton à la base mais il était en version "essai", Avast un copain me l'avais mis lors d'une désinfection (réussie) l'an dernier. C'était peut-être une boulette... ?

[parasited]

Je ne sais pas si ça peut être utile comme info mais les "faux liens" de cette page (nos posts) sont sur les mots "Norton" et "internet", sur d'autres pages que j'ouvre ils n'apparaissent pas, dans l'immédiat ça semble clean... Je suis perplexe!

[parasited]

[parasited]

Bonjour,

Ce matin rebelote, tout les symptômes sont réapparus: faux liens quelles que soient les pages, bannières plus que douteuses, pages de flood qui s'ouvrent et lenteur de connexion... L'anti-virus a demandé un redémarrage avec scan intégral, puis le système a dû effectuer une "réparation au démarrage" pour pouvoir relancer la machine. Mais problèmes toujours là!

Dans le doute je limite mes activités sur le net... Je serais tentée de copier quelques fichiers vers mon disque dur externe dès fois que tout plante prochainement, mais je n'ose pas le brancher car je ne sais pas si il peut être infecté à son tour (il y a toutes mes sauvegardes dessus).

Bon week-end, merci
Elise

[g3n-h@ckm@n]

re

desinstalle Norton avec ceci :

https://support.norton.com/sp/fr/fr/hom ... file_fr_fr

désinstalle avast avec ceci (on mettra la derniere version à la fin) :

http://www.avast.com/fr-fr/uninstall-utility

======================

• Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
• Télécharge Shortcut_Module sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

[parasited]

Salut, voici ce que j'obtiens:

http://upload.sosvirus.net/www/?a=di=Gk9JRWk1cr

Elise

[g3n-h@ckm@n]

tu l'as fait deux fois poste le lien de ce rapport aussi

C:\Shortcut_Module_30_05_2014_13_39_37.txt

[parasited]

Oui, j'avais d'abord suivi le tuto et fait tourner entre autres Shortcut_Module, cf 1er message d'hier:

http://cjoint.com/?0EEsLVy0u7o

Merci!

[g3n-h@ckm@n]

Télécharge Gmer : http://www.gmer.net/#files clique sur « Download EXE » et enregistre-le sur ton bureau

Important : Désactive toutes tes protections : http://forum.pcastuces.com/desactiver_l ... -f31s4.htm

Ne pas utiliser l'ordinateur pendant le scan de GMER

Pour XP = double clique sur gmer.exe
Pour Vista et 7 = clique droit « executer en tant que…. »

GMER va lancer un scan automatique

s'il detecte une activité de rootkit et demande un scan complet , répondre non.

décoche IAT/EAT, ShowAll et les lecteurs (C:\ , D:\....) , et coche tout le reste

clique sur Scan

si une fenêtre indiquant un rootkit apparait clique sur OK.
Une fois le scan terminé sauvegarde le rapport sur ton bureau sous le nom gmer.log

ensuite clique sur copy, puis colle-le dans ta réponse.

Réactive tes protections.

Note: Si problèmes utiliser GMER en mode sans echec.

[parasited]

La sortie pour cette fois est donc:

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-05-31 21:06:59
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 - \Device\Ide\IAAStorageDevice-1 TOSHIBA_ rev.GJ00 298,09GB
Running: psfnvirk.exe; Driver: C:\Users\elise\AppData\Local\Temp\kwdoapog.sys


---- Registry - GMER 2.1 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\WmiApRpl\Performance@Last Counter 14804
Reg HKLM\SYSTEM\CurrentControlSet\services\WmiApRpl\Performance@Last Help 14805
Reg HKLM\SYSTEM\CurrentControlSet\services\WmiApRpl\Performance@Object List 14626 14632 14644 14654 14664 14684 14728 14738 14776 14782 14798

---- EOF - GMER 2.1 ----

[g3n-h@ckm@n]

c'est ok

tu décèles encore des soucis ?

[parasited]

Non ça semble résolu! Je ne saurais que te remercier très chaleureusement pour la prise et charge et te souhaite une belle fin de week-end!

Elise

[g3n-h@ckm@n]

yep faut finir avec un bon menage et des infos interessantes à lire

http://gen-hackman.purforum.com/t50-fin-de-desinfection