INFECTION Nouveau Virus (ADWARE/BProtector.E) [Résolu] • page 2

[surfree]

ATTENTION !

Je viens de recevoir un message d’Avira à l’instant :

L’accès au fichier « C :$RECYCLE.BIN\...\$RKT9AQA.exe » en contenant le virus ou programme indésirable « TR/Dropper.Gen » a été bloqué
Vous pouvez supprimer le fichier ou obtenir plus d’infos…

C'est quoi ce truc qui débarque subitement ??

[diogene]

Bonjour,

J'ai bien retenté le coup en clic droit: exécuter en temps qu'administrateur mais il me réinstalle uniquement MacAfee en me signalant que Adobe Reader est déjà installé

Il faut décocher cette case.

[surfree]

Merci diogene Autant pour moi...

Ceci dit, ça n'arrange rien à l'impossibilité de faire les mises à jour...

Quand tu reviens guugues, n'oublies pas de me donner ton avis sur le dernier message d'Avira. Le virus en question serait un "faux positif" ?

[guugues]

Salut !

Je viens de recevoir un message d’Avira à l’instant

Tu as reçu ce message après avoir fait une quelconque manipulation ?


Personnellement, je serais d'avis que tu désinstalles Adobe Reader pour le remplacer par Sumatra PDF, qui est plus léger.

Aussi, désinstalle bien McAfee Security Scan Plus.


Ensuite, refais moi une analyse FRST comme mentionné dans mon tout premier message. N'oublie pas de cocher la case Addition.txt avant de lancer l'analyse.

--------------------------------------------

Sont donc attendus les 2 rapports de FRST.

[surfree]

Salut Guugues,

Il est une heure du mat et je rentre seulement chez moi...

Je n'ai trouvé un moment pour te répondre. Je reviens vers toi demain.

Merci encore !

[surfree]

Salut Guugues

Ça y est, je suis de retour !

Alors, concernant le "virus fantôme" et pour répondre à ta question.

Pour rappel:

"Je viens de recevoir un message d’Avira à l’instant :

L’accès au fichier « C :$RECYCLE.BIN\...\$RKT9AQA.exe » en contenant le virus ou programme indésirable « TR/Dropper.Gen » a été bloqué
Vous pouvez supprimer le fichier ou obtenir plus d’infos…"


Non, je ne faisais rien de particulier à ce moment là sinon tenter les mises à jour de Adobe Reader juste avant...
Il va de soi que, comme convenu, depuis le début de ton intervention, je n'ai absolument RIEN téléchargé ni RIEN tenté de ma propre initiative. Aucune activité sur le web non plus... Ceci dit, depuis la suppression du fichier censé être infecté par Antivir, il n'a plus donné signe de vie...et le PC "semble" être au mieux de sa forme...

D'autre part, pour en revenir à ce maudit Adobe Reader, j'ai tenté de le supprimer comme tu me le proposais pour le remplacer par Sumatra PDF mais rien à faire: Il refuse de le désinstaller aussi en s'obstinant à m'envoyer l'éternel message:

« Lecteur incorrect : G:\correspondait à un dossier utilisateur. Le lecteur n’existe pas ou la connexion est impossible. Vous pouvez déconnecter le lecteur ou réaffecter la lettre du lecteur. »

Pas têtu l'animal !... Ca t'inspire quoi ?

[guugues]

Salut !

• Ok alors rends-toi sur cette page.
• Dans Méthode 1, clique sur le lien Résoudre ce problème afin de télécharger FixIt sur ton bureau.
• Lance l'utilitaire et suis les instructions.
• Une fois les manipulations faites, redémarre ton PC.
• Retente ensuite de désinstaller Adobe Reader via le panneau de configuration.

[surfree]

Opération terminée et dans les règles. Fixit confirme et relance la machine mais...

Hélas...retour à la case départ: encore et toujours ce satané message ! ...

[guugues]

Bon, on va faire autrement :

OTL – Analyse :

• Télécharge OTL sur ton bureau.
• Ferme toutes les applications en cours, puis lance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
• Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

• Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
ipsec.sys
netbt.sys
tcpip.sys
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
svchost.exe
services.exe
/md5stop
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

• Puis colle-le sous la catégorie Personnalisation d’OTL.
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants. A la fin du scan, deux rapports s'ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
• Héberge chacun de ces rapports sur cjoint.com puis poste moi les liens dans ta prochaine réponse.

------------------------------------------------------

Sont donc attendus les 2 rapports de OTL.

[surfree]

Et voilà, l'affaire est dans le sac !

[guugues]

Salut !

Juste deux questions : connais-tu ceci ? :

C:\users\fforfreedom\logiciels divers\u1301.exe
C:\users\fforfreedom\logiciels divers\u1210.exe
C:\users\fforfreedom\logiciels divers\u1208.exe
C:\users\fforfreedom\logiciels divers\u1210.exe
C:\users\fforfreedom\logiciels divers\u1301.exe
C:\users\fforfreedom\logiciels divers\u1208.exe

Le rapport montre aussi des DNS pointant vers la Chine et Taiwan, ça te parle ?

[surfree]

Pour ce qui est des "logiciels divers", c'est effectivement un dossier que j'ai créé un moment pour y mettre de petits logiciels gratuits qui ne servaient qu'une fois pour un usage bien précis. J'ai du mal à me souvenir précisément desquels.Il n'a pas dû en avoir plus de 3 ou 4. Peut-être un truc de carte de visites.Aujourd'hui, il me reste dedans une version d'essai de nero portable qui ne fonctionne d'ailleurs plus...

Quand à "des liens DNS pointant vers la Chine et Taiwan", , ça me parle autant que la guerre d'indépendance des Bisounours !?!

C'est pas pour dire mais ce genre de question a le don de m'inquiéter... Ca veut dire quoi des liens DNS ?

[guugues]

Pour ce qui est des "logiciels divers", c'est effectivement un dossier que j'ai créé un moment pour y mettre de petits logiciels gratuits qui ne servaient qu'une fois pour un usage bien précis. J'ai du mal à me souvenir précisément desquels.

Ok, alors on les vire ou pas ? Personnellement, je les trouve un peu louches ces fichiers...

C'est pas pour dire mais ce genre de question a le don de m'inquiéter... Ca veut dire quoi des liens DNS ?

Pour faire simple, les DNS utilisés sur un PC sont en relation avec des serveurs DNS qui sont des "bases de données" permettant d'associer aux noms de domaine (comme http://www.google.fr) des adresses IP correspondantes. Si tu veux plus de précisions sur la chose, tu peux te rendre sur la page wikipédia.

Bref, j'ai la réponse à ma question, on va donc virer la ligne correspondante et les quelques autres restes, ainsi qu'Adobe Reader :


OTL – Correction :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.

• Copie toutes les lignes se trouvant au lien suivant ( de :OTL à [emptytemp] ) :
  http://cjoint.com/13dc/CLhp1CZymIS_surfree.txt

• Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d'OTL.

• Ferme toutes les applications en cours, y compris Internet.
• Puis clique sur le bouton Correction. Patiente.
• S'il t'est demandé de redémarrer le PC : accepte.
• Le rapport est sauvegardé ici : C:\_OTL\MovedFiles\ sous la forme date_heure.log.
• Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

-----------------------------------------------

Est donc attendu le rapport de OTL.

[surfree]

Voilà le travail !



PS: Pour le dossier logiciels divers, je l'ai jeté...

[guugues]

Ok impeccable !

PS: Pour le dossier logiciels divers, je l'ai jeté...

N'oublie pas de vider la corbeille s'il a atterri dedans.


Bon, Adobe Reader a normalement été désinstallé, je te conseille donc d'installer Sumatra PDF à la place.


On poursuit :


Eset Online Scanner :

• Télécharge Eset Online Scanner sur ton bureau.
• Lance le fichier.

Sous Windows Vista/Seven/8, clique droit sur le fichier puis Exécuter en tant qu'administrateur

• Coche la case OUI, j'accepte les conditions d'utilisation, puis clique sur Démarrer.

• Laisse le logiciel télécharger ses mises à jour.
• Assure-toi que la case Supprimer les menaces détectées soit bien cochée et coche la case Analyser les archives.
• Puis clique sur Paramètres avancés : coche les cases Rechercher les applications potentiellement indésirables et Rechercher les applications potentiellement dangereuses.
• Assure-toi que la case Activer la technologie Anti-Stealth (anti-furtivité) soit cochée.

Désactive ton antivirus afin de ne pas ralentir l'analyse et de ne pas afficher des messages d'alerte

• Ferme Internet.
• Clique sur Démarrer pour lancer l’analyse. Cela peut durer longtemps. Laisse l’outil travailler sans l’interrompre.
• Si aucune menace n'est détectée dis le moi simplement dans ta prochaine réponse.
• Si des menaces sont trouvées, elles seront supprimées automatiquement.
• Dans ce cas, génère le rapport en cliquant sur Liste des menaces détectées puis Exporter dans un fichier texte...
• Poste le contenu du rapport sur le forum.