[Réglé]Trojan.FakeAlert et affichages non souhaités

[Pac428]

Bonjour,

je suis nouveau sur ce forum. Je vous sollicite car j'ai un problème de contamination sur mon ordinateur.

*Premier problème:
hier, j'ai été contacté par le service informatique de mon université qui m'a signalé que je ne pouvais pas me connecter sur le réseau à cause d'un malware (ponmocup) présent sur mon PC.
La personne m'a conseillé de télécharger "SUPERAntiSpyware" afin de l'éliminer.
Je l'ai lancé hier soir et a décelé 44 fichiers infectés; je les ai supprimés.

Questions:
Quelle menace représente ce malware et où comment ai-je pu être contaminé (windows defender, avast, ad-watch live étants toujours activés)?

Je souhaiterais savoir si ce malware a bien été supprimé de mon PC (si ce n'est pas le cas, je ne pourrai de nouveau pas accéder au réseau ce lundi). Pourriez-vous le vérifier et si oui que dois-je faire (je débute en informatique)?


*Second problème (peut-être lié au précédent):
depuis quelques temps et à chaque recherche sur Goxxle (je n'utilise que ce moteur de recherche), lorque je clique sur un lien vers un site, je suis automatiquement redirigé vers des pages de publicités pour des produits ou services, des pages de "Survey", des pages imitant la page d'accueil facebook, un site nommé "Gemma Answers" (ou quelque chose comme cela) et c'est très dérangeant car je dois à chaque fois revenir sur la page du moteur de recherche et cliquer à nouveau sur le lien pour espérer pouvoir ouvrir le site souhaité. Pire, hier j'ai eu pour la première fois l'affichage d'une page à caractère douteux...

Questions:
Pourriez-vous me dire à quoi ce problème est dû? Et comment faire pour le résoudre pour de bon?
Car les nombreuses analyses réalisées par Avast, SpyBot, Ad-Aware (tous à jour) ont trouvé des fichiers infectés mais n'ont pu pour autant résoudre le problème. De plus, j'ai l'impression qu'il y' a de nouveaux fichiers infectés qui reviennent après les analyses car d'un jour à l'autre, ces logiciels découvrent des fichiers infectés.

Enfin, pourriez-vous me donner des conseils de prévention pour éviter à l'avenir ce genre de problème?
Je me demande si le prolème de l'affichage de pages ne vient pas d'un crack que j'ai installé il y'a peu...

Merci beaucoup de m'avoir lu!
Bonne journée!

lolo38

EDIT :

J'oubliais,

la dernière analyse de Spybot a décelé deux "cookies traceurs (DoubleClick et Tradedoubler).
Le rapport indique en-dessous deux adresses "monprénom"@tradedoubler.com et "monprénom"@doubleclick.net: c'est quoi ces deux adresses?

Merci beaucoup!

lolo38

EDIT Bis :

Dernière chose,

je ne dispose d'aucun support de restauration...

Merci!

lolo38

[Flo38]

Bienvenue sur PC-I!

Ad-Aware et Spybot sont dépassés

Fait ceci pour avancer:
preparer-demande-aide-desinfection-vt-55699.html

[Del-crosseur]

Bonsoir vous deux ,

@Flo38 ,

@lolo38pm18

Laisse tomber " OTL" puis fais ceci à la place ,

Télécharge ZHPDiag par Nicolas Coolman et sauvegarde-le sur le Bureau.

* Double-clique sur ZHPDiag.exe.
* En cas de problème , message d'erreur suite à l'ouvertue de ZHPDiag , faite Clique-droit puis éxectuter en tant qu'administrateur
* clique sur le bouton Lancer le diagnostic
* Lorsque l'analyse sera terminée, un fichier au format texte s'affiche dans la zone résultat du bas.
* Clique sur le bouton Copier dans le presse papier
* Colle le résultat de l'analyse dans ta réponse en faisant un copier/coller.

-Le rapport étant long , Heberge le sur >>>ici<<<

@ ++

[lolo38pm18]

Bonsoir,

je vous remercie tous les deux pour votre réponse!
J'ai donc téléchargé le logiciel et ai lancé le scan (sans avoir cliqué sur le bouton "Update").

Voici le rapport:

http://cjoint.com/?1ejxf8QKAhy


Merci encore,

lolo38

[Del-crosseur]

Bonjour ,

Télécharge puis installe :

par Marcin Kleczynski

*** Met-le à jour(très important ) , puis coche, "Exécuter un examen complet"

*** Si une infection est trouvée, coche la case à coté et valide avec l’Onglet Supprimer la sélection

*** Après la suppression , l'outil va surement te demander de redémarrer l'ordinateur -->accepte<--

*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) ? cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.

Poste le rapport final.

Ps:Au cas ou tu n'a pas le rapport suite à une erreur de manipulation ; relance Malwarebytes puis rends toi dans l'onglet "rapports/Logs" selectionne le dernier puis Copier/Coller dans ta réponse

Puis ::

***Dans "Programmes" tu as ZHPDiag , cliques dessus pour le lancer
Lorsque la fenêtre de l'interface sera ouverte clique sur cette icône -->
Une nouvelle interface va se présenter (tu seras sur ZHPFix), dans celle-ci applique cette procédure :

• Dans la fenêtre d'application (blanche et vierge) copie et colle ceci dedans :

O4 - HKLM\..\Run: [ThpSrv]
[HKCU\Software\AppDataLow\LastScanTime]
O4 - Global Startup: C:\Users\Lo?c\Desktop\NMRShares (scapa.ch.cam.ac.uk).lnk . (...) -- \\scapa.ch.cam.ac.uk\NMRShares (.not file.)
O4 - HKUS\S-1-5-21-2386173983-2139334045-1486047054-1001\..\Run: [JCRWWNYFTR] rundll32 "C:\Users\Lo?c\AppData\Roaming\fi-FIV.dll (.not file.)
O4 - HKCU\..\Run: [JCRWWNYFTR] rundll32 "C:\Users\Lo?c\AppData\Roaming\fi-FIV.dll (.not file.)
EmptyFlash
Emptytemp

• En haut dans la barre de commandes clique sur --> H
pour activer les lignes Helpers.

***Clique sur "OK", puis sur "Tous", et pour terminer le lancement sur "Nettoyer".
Ne touche pas au pc pendant que ZHPFix travail , risque de plantage du logiciel.
Une fois le Scan terminer , tu obtiendras un rapport de nettoyage.
Poste-moi le rapport.

Bonne journée !!

[Skynet]

Bonjour Del-crosseur,

je te remercie de ta réponse!
J'ai terminé le scan avec Malawarebytes. Voici le rapport final:

Code: Tout sélectionner

""Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Version de la base de données: 6323

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

10/04/2011 14:46:43
mbam-log-2011-04-10 (14-46-43).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 292317
Temps écoulé: 28 minute(s), 34 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\KUGHGZXAKT (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\3D26895M1Z (Trojan.FakeAV) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JCRWWNYFTR (Heuristics.Shuriken) -> Value: JCRWWNYFTR -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KUGHGZXAKT (Trojan.FakeAlert) -> Value: KUGHGZXAKT -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Loïc\AppData\Roaming\fi-FIV.dll (Heuristics.Shuriken) -> Quarantined and deleted successfully.""

Je passe maintenant à la seconde étape.

Merci encore!

lolo38

EDIT :

Et voici le rapport de ZHPFix (temps de scan= 1seconde )

Code: Tout sélectionner

Rapport de ZHPFix 1.12.3274 par Nicolas Coolman, Update du 06/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-04-2011-15-56-56.txt
Run by Loïc at 10/04/2011 15:56:56
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\AppDataLow\LastScanTime  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [ThpSrv]  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2386173983-2139334045-1486047054-1001\..\Run: [JCRWWNYFTR] rundll32 "C:\Users\Lo?c\AppData\Roaming\fi-FIV.dll (.not file.)  => Valeur absente
O4 - HKCU\..\Run: [JCRWWNYFTR] rundll32 "C:\Users\Lo?c\AppData\Roaming\fi-FIV.dll (.not file.)  => Valeur absente

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 70

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 54


========== Récapitulatif ==========
1 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan

Pouvez-vous me dire ce que vous pensez de tout ça?

Merci!

Loïc

[Del-crosseur]

Bonsoir ,

J'en pense que nous avons fais du bon boulot , continuons...

Nous allons effectuer un Scan avec NOD32

*** Scan en ligne ->

_->Cliquez sur le bouton

_->Accepter les conditions d’utilisation, pour cela, cochez la case « Oui, j’accepte les termes du contrat de licence »
_->Cliquez ensuite sur le bouton Start
_->Acceptez l’installation de l’ActiveX NOD32
_->Le téléchargement des définitions virales s’effectuent, cela peut prendre du temps selon la vitesse de connexion.
_->Cocher la case "Supprimer les menaces détectées"
_->Clique sur le bouton Démarrer pour lancer le scan
_->Le scan du PC se lance, les menaces détectées apparaissent dans la liste en dessous de la barre de progression.
_->Laissez l’analyse s’effectuer entièrement
_->Cliquer sur le bouton « liste des menaces » permettant d’exporter la liste dans un fichier texte
_->Enregistrer celui-ci sur votre bureau par exemple

Poste moi le rapport

Bonne nuit !!

[lolo38pm18]

Merci pour ta réponse!

J'ai effectué une analyse avec le logiciel en ligne que tu m'as conseillé mais n'ai pas obtenu de rapport; probablement parce que le scan n'a décelé aucun fichier infecté.

Peux-tu me confirmer que lorque le logiciel ne trouve aucun fichier contaminé, il ne fournit pas de rapport?

Par avance, merci!

lolo38

[Del-crosseur]

Bonsoir ,

Tu n'a eu aucune fenêtre montrant un/des fichiers infectés .?
Si tu n'a pas eu de rapport c'est bon .

As-tu encore des soucis avec ton pc ?

Bonne soirée

[lolo38pm18]

Bonjour,

je te remercie de ta réponse!

Effectivement, je n'ai obtenu aucune fenêtre indiquant un quelconque fichier infecté. Juste un "tick" vert et un message comme quoi il n'y avait pas d'infection. Donc c'est bon!
Toutefois, je me souviens avoir fait une analyse avant de venir sur votre forum avec ce même logiciel mais le problème n'avait pas été résolu (je me demande même s'il avait trouvé une quelconque infection).
Sinon, je n'ai plus de pages intempestives s'affichant!!! Et ça c'est énorme!

Pensez-vous que mon pc est complétement nettoyé?

Afin d'en apprendre un peu plus sur ce genre d'infection, pouvez-vous répondre (succintement car je devine que votre temps est précieux) à ces quelques questions?:
- Quel était le type d'infection? Comment fonctionne-t'elle?
- Comment à l'avenir dois-je me protéger (Avast, Spybot et Ad-aware sont-ils suffisants)?

Par avance merci!!

lolo38

[Del-crosseur]

Bonsoir ,

- Quel était le type d'infection? Comment fonctionne-t'elle?

Alors Malwarebytes nous a principalement déceler une infection type Trojan : Cette infection est récupérée à la suite de l'installation de codecs infectés en général et peut se transmettre via les supports externes (clé USB, disque dur externe, carte SD etc..) Pour plus d'info je t'invite à consulter Ceci concernant les différents types de Trojan/Troyen ainsi que leurs fonctionnement/But....

- Comment à l'avenir dois-je me protéger (Avast, Spybot et Ad-aware sont-ils suffisants)?

Alors , tu ne doit pas oublier une chose avant tous , le meilleur antivirus c'est toi ...
Mais nous somme pas à l'abri d'un mauvais clic sur une Pub qui ne fallait pas cliquer ou autres...
Donc Je te conseil de Garder Avast car il est bon et Gratuit , maintenant je te conseil de supprimer
Spybot et Ad-aware et de garder tous simplement Malwarebytes' Antimalwares qui est Largement
plus efficace....


Voila ,

Si tu ne rencontre plus de soucis ; passons au nettoyage des outils qui nous ont servit lors de la désinfection:

Télécharge ->> DelFix <<- de Xplode

* Lance le.

* Choisit l'option "Suppression"

* Un rapport va s'ouvrir à la fin, colle le dans la réponse ...

Ensuite pour le désinstaller ; tu relances et tu passes à l'option "Désinstallation"


Bonne nuit !!

[lolo38pm18]

Bonsoir,

je m'excuse pour cette période d'absence... Je te remercie pour le lien et tes explications!
J'ai lancé l'application que tu m'a demandé; voici le rapport final:

[code]# DelFix v7.7B - Rapport créé le 17/04/2011 à 19:48
# Mis à jour le 15/04/11 à 19h30 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]
# Nom d'utilisateur : Loïc - TOSHIBA-LOÏC (Administrateur)
# Exécuté depuis : C:\Users\Loïc\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\542N5HIZ\DelFix[1].exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\UsbFix.txt
Supprimé : C:\ZHPExportRegistry-10-04-2011-15-56-56.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> ESET Online Scanner ... Désinstallé avec succès
-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1241 octets] ##########[/code


Merci encore!

Bonne nuit

lolo38

[Del-crosseur]

Bonsoir ,

Pas de soucis , bonne continuation !!

@ ++

[lolo38pm18]

Merci encore pour ton aide!

Bonne continuation à toi aussi!

lolo38