[Résolu] Infection Adware.BProtector.E

[Thibs]

Bonjour à tous,

Pas du tout spécialisé en informatique, mais évidemment utilisateur assidu, j'ai été infecté par le virus cité comme sujet, selon les résultats donnés par Avira. Bilan : il m'est proposé de mettre les objets en quarantaine, mais quand je le fais, windows annonce que l'alimentation a été coupée, et qu'un redémarrage est nécessaire. Et cela recommence.
Je suis sous windows 7, en 64 bits.
J'ai vu qu'un autre membre avait eu la même mésaventure (c'est comme cela que j'ai découvert ce site), mais que la procédure était longue et spécifique ! A priori, c'est un téléchargement d'un logiciel d'apparence innocente (gif animator, ou quelque chose comme cela) sur le site 01.net qui pourrait être à l'origine de l'infection. Pourtant, j'allais assez régulièrement sur ce site, sans souci jusqu'à présent .
Ne sachant pas par quel bout m'y prendre, et assez prudent dès que la machine ne répond plus comme d'habitude, je viens solliciter votre aide !
En vous en remerciant par avance ,

Thibs.

[guugues]

Salut Thibs et bienvenue parmi nous !

Je demande à un modérateur de déplacer ton sujet dans la partie Sécurité et Virus du forum, afin qu'on puisse te prendre en charge là bas.

[EinsteinZero]

Bonsoir,
je passais par là, alors c'est fait

[guugues]

Coucou EZ ! Merci bien !

Thibs, je vais te prendre en charge pour la désinfection, mais d'abord, je vais te demander de prendre connaissance de ces quelques règles :

La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu'au bout, même si les symptômes apparents ont disparu.

Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
(merci à H.A.W.X).

Tous les rapports devront être joints sur le forum comme mentionné dans ce tutoriel.

Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d'endommager ton système d'exploitation.

Ne fais rien de ta propre initiative.

Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

OTL – Analyse :

• Télécharge OTL sur ton bureau.
• Ferme toutes les applications en cours, puis lance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
• Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

• Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
ipsec.sys
netbt.sys
tcpip.sys
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
svchost.exe
services.exe
/md5stop
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

• Puis colle-le sous la catégorie Personnalisation d’OTL.
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants. A la fin du scan, deux rapports s'ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
• Joins ces 2 rapports dans ta prochaine réponse en suivant ce tutoriel.

------------------------------------------------------

Sont donc attendus les 2 rapports de OTL.

[Thibs]

Bonsoir à tous,
Merci aux intervenants, et bien sûr à Guugues.
C'est sympa de me prendre en charge, et de me dépanner !
J'ai donc suivi à la lettre la procédure, très pédagogique. Analyse effectuée, un rapport joint, mais le second dépasse la taille autorisée : il faut 255 ko, pour 64 max annoncés ?
Il figure toujours sur mon bureau ... Y a-t-il moyen de le scinder ? Ou d'augmenter la taille des fichiers joints ?
Merci encore ... et bonne nuit !
Bien cordialement

Thibs.

[guugues]

Re thibs !

J'ai prévenu le webmaster afin qu'il augmente la taille des fichiers joints ( le système de pièces jointes vient tout juste d'être mis en place, d'où ce genre de petits problèmes ).

Je te redis ça, sûrement demain !

++

[webmaster]

Bonjour Thibs,

Désolé mais le système est tout nouveau. J'ai donc passé la limite à 512 Ko. Pourrais-tu avoir la gentillesse d'éditer ton précédent message et mettre le rapport en pièce jointe pour voir si ça fonctionne cette fois ? Merci d'avance

[Thibs]

Bonjour, Webmaster,

Pas de souci pour moi, bien évidemment !
Je réédite le message, avec les deux pièces jointes.
Et cela semble bien marcher !
Merci à toi, et à suivre donc.
Bien cordialement

Thibs.

[guugues]

Re Thibs !

Je vois que tu as utilisé Farbar Recovery Scan Tool, un outil de diagnostic : es-tu suivi sur un autre forum ?

[Thibs]

Bonjour Guugues,

Non, je suis fidèle !
Mais sur un autre post, j'ai vu que tu avais demandé d'utiliser cet outil, alors pour gagner du temps, j'avais commencé avec cela, puis je m'étais arrêté là.
Les deux rapports et l'outil sont toujours sur mon bureau.

Bien cordialement

Thibs.

[guugues]

Ok, merci pour les explications.


Ton PC est infecté par des PUP / Adwares, qui ont les caractéristiques d'afficher des pubs intempestives, de collecter tes habitudes de navigation et d'installer des toolbars , car tu n'es pas assez vigilant(e) lors de l'installation de logiciels gratuits, qui proposent souvent ces PUP / Adwares pré-cochés pour l'installation.

Afin d'éviter ce genre d'infections, quelques recommandations :

En cas de téléchargements de logiciels, les effectuer uniquement via les sites officiels des éditeurs.

Ne télécharge pas tes logiciels sur des sites comme Softonic ou 01.net.

Prendre connaissance de ce qui est indiqué lors de l'installation de logiciels : s'assurer de décocher les éventuelles cases pré-sélectionnées.

1- Désinstallation des PUP / Adwares / logiciels inutiles via le panneau de configuration :


Désinstalle le logiciel suivant via : Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités :

• MyFreeCodec

S'il ne veut pas se désinstaller, ce n'est pas grave, passe à la suite.


2- OTL – Correction :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Télécharge la pièce jointe suivante sur ton bureau :

thibs.txt

• Ouvre le fichier thibs.txt puis copie toutes les lignes qui sont dedans, de :OTL à [emptytemp].

• Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d'OTL.

• Ferme toutes les applications en cours, y compris Internet.
• Puis clique sur le bouton Correction. Patiente.
• S'il t'est demandé de redémarrer le PC : accepte.
• Le rapport est sauvegardé ici : C:\_OTL\MovedFiles\ sous la forme date_heure.log.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

3- AdwCleaner – Nettoyage :

• Télécharge AdwCleaner sur ton bureau.
• Lance AdwCleaner.

Sous Windows Vista/Seven/8, clique droit sur AdwCleaner puis Exécuter en tant qu'administrateur

• Clique sur le bouton Scanner.

• Une fois le scan terminé, clique sur le bouton Nettoyer.
• Accepte le message d'informations en cliquant sur OK.
• Il te sera demandé de redémarrer l'ordinateur : accepte en cliquant sur OK.
• Une fois le PC redémarré, un rapport s'ouvrira automatiquement.
• Celui-ci est disponible ici : C:\AdwCleaner\AdwCleaner[S0].txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

4- Junkware Removal Tool :

• Télécharge Junkware Removal Tool sur ton bureau.
• Lance Junkware Removal Tool.

Sous Windows Vista/Seven/8, clique droit sur JRT puis Exécuter en tant qu'administrateur

• Lorsque la fenêtre suivante apparaît, appuie sur n'importe quelle touche de ton clavier pour lancer l'outil :

• Le nettoyage commence. Le bureau est susceptible de disparaître, c'est normal. Laisse travailler l'outil.
• Un rapport va s'ouvrir automatiquement.
• Celui-ci est présent sur ton bureau sous le nom de JRT.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

5- VirusTotal :

• Rends-toi sur le site suivant : VirusTotal.
• Clique sur Choisir un fichier :

• Une fenêtre s'ouvre : dans la partie basse de la fenêtre, dans le cadre Nom du fichier, colle la ligne suivante :

Code: Tout sélectionner

C:\Users\Public\Documents\Global.sw

• Puis clique sur le bouton Ouvrir :

• Clique ensuite sur le bouton Analyser!.
• Si une fenêtre Fichier déjà analysé apparaît, clique sur le bouton Réanalyser.
• Patiente le temps de l'analyse, jusqu'à ce que les 47 antivirus aient analysé le fichier.
• Copie le lien de la page puis colle-le dans ta prochaine réponse :

---------------------------------------------------------------------------------------------

Sont donc attendus les rapports de OTL, AdwCleaner , JRT et le lien VirusTotal.

[Thibs]

Ouf ! C'est fait !
Au passage, bravo et merci et pour ta patience, et pour ta pédagogie ...
Voici donc les rapports et liens demandés :
https://www.virustotal.com/fr/file/a3a5 ... 387023504/
Je suppose que mes soucis proviennent, comme je l'avais indiqué, du téléchargement d'un logiciel d'animation gif sur 01.net. J'avais l'habitude de ce site, mais visiblement, il n'est plus fréquentable ...

Cordialement

Thibs.

[guugues]

Re !

Ok pour les rapports !

Je suppose que mes soucis proviennent, comme je l'avais indiqué, du téléchargement d'un logiciel d'animation gif sur 01.net. J'avais l'habitude de ce site, mais visiblement, il n'est plus fréquentable ...

Effectivement, 01.net a pour habitude de repacker les logiciels qu'il propose au téléchargement, c'est-à-dire qu'il rajoute des cochonneries lors de l'installation des logiciels souhaités... à bannir ! Toujours télécharger sur les sites officiels des éditeurs et toujours être vigilant lors de l'installation : décocher les cases pré-sélectionnées etc...

On poursuit :


Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware sur ton bureau.
• Le fichier mbam-setup apparaît sur ton bureau : lance-le pour installer le logiciel.

Sous Windows Vista/Seven/8, clique droit sur mbam-setup puis Exécuter en tant qu'administrateur

• Lors de l'installation, pense à décocher la case Activer l'essai gratuit de Malwarebytes Anti-Malware PRO.
• Veille également à ce que la case Mettre à jour Malwarebytes Anti-Malware soit cochée.
• Les mises à jour se lancent et le logiciel démarre.
• Si tu possèdes déjà ce logiciel, pense à le mettre à jour via l'onglet Mise à jour puis Rechercher des mises à jour.
• Dans l'onglet Paramètres, configure-le comme ci-dessous:

• Puis dans l'onglet Recherche, coche la case Exécuter un examen complet puis clique sur Rechercher.
• Sélectionne tous les lecteurs (tu peux également brancher tes médias amovibles) et clique sur Rechercher.

• L'analyse peut prendre un certain temps. Laisse travailler l'outil sans l’interrompre.
• Lorsque l'analyse est terminée, clique sur OK puis sur Afficher les résultats.
• Si des infections sont trouvées, assure-toi que tout est coché et clique sur Supprimer la sélection puis sur OK.
• Un rapport va s'ouvrir automatiquement.
• S'il l'outil te demande de redémarrer le PC, accepte de suite.
• Joins le rapport dans ta prochaine réponse en suivant ce tutoriel.
• Pour joindre le rapport, après avoir cliqué sur le bouton Choisissez un fichier, colle la ligne suivante dans le cadre Nom du fichier :

Code: Tout sélectionner

C:\Users\Famille\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs

• Puis clique sur le bouton Ouvrir : tu pourras alors sélectionner le rapport mbam-log-date(heure).txt et le joindre, comme expliqué dans le tutoriel.

-------------------------------------------------------------

Est donc attendu le rapport de MBAM.

[Thibs]

Re,

3 heures de contrôle ! Et quelques infections détectées, encore 11 ...
Seule erreur de ma part, j'ai lu trop vite tes explications :
Lors de l'installation, pense à décocher la case Activer l'essai gratuit de Malwarebytes Anti-Malware PRO.
Et j'ai laissé la case cochée ... Souci ?
Pas de souci pour le reste, et je joins le rapport comme demandé.
Je ne pensais pas que ce type d'opération était aussi long et complexe, à vrai dire ...
Et je te remercie d'autant plus de ton aide,
Bien cordialement

Thibs.

[guugues]

Re !

3 heures de contrôle ! Et quelques infections détectées

Et pas des moindres, des trojans majoritairement, on va contrôler avec un autre outil par mesure de précaution.

Et j'ai laissé la case cochée ... Souci ?

Ah... Le souci, c'est qu'il peut y avoir un conflit entre les modules de protection de ton antivirus Avira et ceux de MBAM : donc tu lances MBAM et tu désactives ses modules de protection. Vu qu'il s'agit d'une version d'essai de 30 jours, dans 1 mois, ça repassera en version gratuite.


RogueKiller – Recherche :

• Télécharge RogueKiller-x64 sur ton bureau.
• Lance RogueKiller.

Sous Windows Vista/Seven/8, clique droit sur RogueKiller puis Exécuter en tant qu'administrateur

• Patiente pendant le pre-scan. Une fenêtre apparaît : clique sur Accepter.
• Puis clique sur le bouton Scan.
• Patiente pendant le scan :

• Une fois le scan terminé, un rapport apparaît sur ton bureau :
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

----------------------------------------------------

Est donc attendu le rapport de RogueKiller.