Virus HEUR:Exploit.Java.Generic [Résolu]

[bdfle]

Bonjour à tous,

Suite à une connerie (bien identifiée : J'ai voulu installer Tor pour voir comment celà fonctionnait), je me suis chopé un bon vieux virus bien collant : HEUR:Exploit.Java.Generic

2ème connerie : J'ai Kaspersky, qui m'a proposé de le mettre en quarantaine, mais j'ai choisi l'option "supprimer", moins recommandée...

Et depuis ce jour, ma vie est un enfer !

le virus n'apparait plus dans les analyses de Kaspersky, mais il est bien là, puisque ordinateur très ralenti, plusieurs logiciels ne fonctionnant plus (Snag it refuse de faire des captures), bref un enfer.

La touche "assist" de l'ordinateur pour remettre l'ordinateur à une date ultérieure ne fonctionne plus.

J'ai été en contact avec le SAV de Kasperky pendant 10 jours, mais ils n'ont pas été en mesure de résoudre mon problème. Pour eux il n' y en pas...

J'ai acheté Malwarebytes, je l'ai fait fonctionner, il ne trouve rien d'anormal.

J'hésite à acheter SpyHunter, car apparemment il est difficile de le désinstaller, et plusieurs se sont fait arnaquer en l'achetant...

Je me dit qu'à ce stade, à moins d'essayer une solution que je n'aurais pas encore tentée, il me rester le rebootage.
(Je n'en ai jamais fait, l'idée me stresse un peu)

Mais... si je fait ma sauvegarde avant (je n'ai pas fait de sauvegarde depuis 6 mois), peut-être que je risque de sauvegarder également ce virus, et de le réinstaller ensuite ?

Si quelqu'un pouvait me donner un piste pour tentter de résoudre ce problème minant, ça serait vraiment super sympa.

Merci d'avance !

Benoit

[guugues]

Salut bdfle et bienvenue !

Ce qu'a détecté Kaspersky est un Exploit Java, une exploitation de faille de sécurité de Java afin d'infecter ton PC.

J'hésite à acheter SpyHunter

Surtout pas ! C'est un faux logiciel de sécurité !


Je vais te prendre en charge pour la désinfection, mais d'abord, je vais te demander de prendre connaissance de ces quelques règles :

La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu'au bout, même si les symptômes apparents ont disparu.

Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
(merci à H.A.W.X).

Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d'endommager ton système d'exploitation.

Ne fais rien de ta propre initiative.

Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

OTL – Analyse :

• Télécharge OTL sur ton bureau.
• Ferme toutes les applications en cours, puis lance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
• Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

• Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
ipsec.sys
netbt.sys
tcpip.sys
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
svchost.exe
services.exe
/md5stop
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

• Puis colle-le sous la catégorie Personnalisation d’OTL.
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants. A la fin du scan, deux rapports s'ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
• Héberge chacun de ces rapports sur cjoint.com puis poste moi les liens dans ta prochaine réponse.

------------------------------------------------------

Sont donc attendus les 2 rapports de OTL.

[bdfle]

Bonjour guugues !

Merci pour ta réponse !

Voici mes deux rapports :



Merci d'avance pour ton étude attentive de ces rapports et ton expertise !

Benoit

[guugues]

Salut !

Je ne vois rien de particulier dans les rapports. Par contre, Malwarebytes (version PRO) ainsi que Kaspersky ont tous les deux leurs modules de protection activés, ce qui peut engendrer des ralentissements du PC et des conflits. Je te recommande de désactiver les modules de protection de Malwarebytes, il est amplement suffisant en version gratuite.

Fais tout de même ces quelques manipulations :


1- OTL – Correction :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.

• Copie toutes les lignes se trouvant au lien suivant ( de :OTL à [emptytemp] ) :
  http://cjoint.com/13dc/CLhmnMau2h5_bdfle.txt

• Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d'OTL.

• Ferme toutes les applications en cours, y compris Internet.
• Puis clique sur le bouton Correction. Patiente.
• S'il t'est demandé de redémarrer le PC : accepte.
• Le rapport est sauvegardé ici : C:\_OTL\MovedFiles\ sous la forme date_heure.log.
• Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

2- AdwCleaner – Nettoyage :

• Télécharge AdwCleaner sur ton bureau.
• Lance AdwCleaner.

Sous Windows Vista/Seven/8, clique droit sur AdwCleaner puis Exécuter en tant qu'administrateur

• Clique sur le bouton Scanner.

• Une fois le scan terminé, clique sur le bouton Nettoyer.
• Accepte le message d'informations en cliquant sur OK.
• Il te sera demandé de redémarrer l'ordinateur : accepte en cliquant sur OK.
• Une fois le PC redémarré, un rapport s'ouvrira automatiquement.
• Copie et colle le contenu de ce rapport dans ta prochaine réponse.

3- Malwarebytes Anti-Malware :

• Lance Malwarebytes.

Sous Windows Vista/Seven/8, clique droit sur MBAM puis Exécuter en tant qu'administrateur

• Mets à jour le logiciel via l'onglet Mise à jour puis Rechercher des mises à jour.
• Dans l'onglet Paramètres, configure-le comme ci-dessous:

• Puis dans l'onglet Recherche, coche la case Exécuter un examen complet puis clique sur Rechercher.
• Sélectionne tous les lecteurs (tu peux également brancher tes médias amovibles) et clique sur Rechercher.

• L'analyse peut prendre un certain temps. Laisse travailler l'outil sans l’interrompre.
• Lorsque l'analyse est terminée, clique sur OK puis sur Afficher les résultats.
• Si des infections sont trouvées, assure-toi que tout est coché et clique sur Supprimer la sélection puis sur OK.
• Un rapport va s'ouvrir automatiquement.
• Copie et colle son contenu dans ta prochaine réponse.
• S'il l'outil te demande de redémarrer le PC, accepte de suite.

4- Nettoyage du cache Java :

• Efface le cache Java en suivant cette procédure.

------------------------------------------------------------------

Sont donc attendus les rapports de OTL, AdwCleaner et MBAM.

[bdfle]

Voici les rapports :

1 OTL Correction

> il y a deux rapports : J'ai interrompu le premier car j'avais oublié de sélectioner "Exécuter en tant qu'administrateur" au démarrage.


2. AdwCleaner

# AdwCleaner v3.014 - Rapport créé le 07/12/2013 à 15:14:24
# Mis à jour le 01/12/2013 par Xplode
# Système d'exploitation : Windows 8 (64 bits)
# Nom d'utilisateur : Benoit - BARAKA
# Exécuté depuis : C:\Users\Benoit\Desktop\adwcleaner.exe
# Option : Nettoyer



3 Malawarebytes

> je lance le scan et je le poste... dans quelques heures !

[guugues]

Parfait !

Maintenant il faut faire l'analyse MBAM et le nettoyage du cache Java.

[bdfle]

Voici le rapport MalewareByte :



Le "Panneau de configuration Java" est introuvable sur l'ordinateur.
J'ai suivi la procédure pour Windows 8.

Sans ça j'ai mis ici une capture d'écran du gestionnaire de tâche, qui montre une activité particulièrement forte du WD file management engine :

[guugues]

Re !

Sans ça j'ai mis ici une capture d'écran du gestionnaire de tâche, qui montre une activité particulièrement forte du WD file management engine :

WD file management engine est un processus qui s'occupe de la sauvegarde pour les disques durs externes Western Digital. On peut le désactiver du démarrage en faisant ceci :


→ Menu Démarrer → Dans la barre de recherches, tape msconfig :

• Une nouvelle fenêtre s'ouvre.
• Rends-toi dans l'onglet Démarrage : tu peux décocher toutes les cases (dont celle correspondant à WD file management engine) sauf celles relatives à ton antivirus.
• Clique ensuite sur Appliquer puis OK.
• Il te sera demandé de redémarrer le PC : accepte.

Désinstalle le logiciel suivant via : Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités :

• Java(TM) 7 Update 5

Télécharge et installe ensuite la dernière version de Java via le site officiel.

Pense à décocher les éventuelles cases pré-sélectionnées, comme ici avec Adobe Reader :





Lance ensuite Adobe Reader, vas dans la rubrique Aide du logiciel et clique sur Rechercher les mises à jour pour appliquer la dernière mise à jour au logiciel. Puis fais ce qui suit :


SX Check&Update :

• Télécharge SX Check&Update sur ton bureau.
• Si l'antivirus émet des alertes, désactive-le temporairement.
• Lance sxcu.exe.

Sous Windows Vista/Seven/8, clique droit sur sxcu.exe puis Exécuter en tant qu'administrateur

• Clique ensuite sur le bouton Rapport :

• Un rapport, du nom de rapport_SX.txt, s'ouvre automatiquement.
• Poste le contenu de ce rapport dans ta prochaine réponse.

--------------------------------------------------

Est donc attendu le rapport de SXCU.

[bdfle]

... que voici !

SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-31 ... eckupdate/
---
Windows Version : Windows 8 64bits
Aucun Service Pack
UserName : Benoit
07/12/2013
19:21:32
version = v0.4.6
---
Windows Update Information :
AUOptions : 2
Notify Download and Install
---

---
Nom : Google Chrome
Version : 31.0.1650.63

Java Information :
Nom : Java 7 Update 45
Version : 7.0.450
Java 7 Update 45 est à jour

Nom : Adobe Reader X (10.1. MUI
Version : 10.1.8
Adobe Reader est à jour

[guugues]

Parfait, on va faire une autre manip pour le cache de Java :


1- Nettoyage du cache Java :

• Menu Démarrer.
• Dans la barre de recherches, tape Java.
• Une liste apparaît : clique sur Java.
• Le panneau de configuration de Java s'ouvre.
• A partir de là, effectue les manipulations évoquées dans la partie Suppression des fichiers temporaires via le panneau de configuration Java de cette procédure.

2- SFTGC – Nettoyage des fichiers temporaires :

• Télécharge SFTGC sur ton bureau.
• Lance SFTGC.exe.

Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis Exécuter en tant qu'administrateur

• Le logiciel s'initialise puis s'ouvre.
• Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

• Un rapport du nom de SFTGC.txt est alors créé sur ton bureau.
• Poste son contenu dans ta prochaine réponse.

-------------------------------------------

Est donc attendu le rapport de SFTGC.

[bdfle]

voici le rapport.
Mon ordinateur est toujours aussi lent

SX Check&Update

[guugues]

Tu t'es trompé de rapport : il me faut celui de SFTGC.

As-tu fait ceci ? :

→ Menu Démarrer → Dans la barre de recherches, tape msconfig :

• Une nouvelle fenêtre s'ouvre.
• Rends-toi dans l'onglet Démarrage : tu peux décocher toutes les cases (dont celle correspondant à WD file management engine) sauf celles relatives à ton antivirus.
• Clique ensuite sur Appliquer puis OK.
• Il te sera demandé de redémarrer le PC : accepte.

[bdfle]

Oups..... le voici



Oui, j'ai bien effectué l'autre procédure dont tu me parles dans ton dernier message.

Je vais faire une petit break d'une heure et je reviens

[guugues]

Ok, effectuons une dernière analyse :


Eset Online Scanner :

• Télécharge Eset Online Scanner sur ton bureau.
• Lance le fichier.

Sous Windows Vista/Seven/8, clique droit sur le fichier puis Exécuter en tant qu'administrateur

• Coche la case OUI, j'accepte les conditions d'utilisation, puis clique sur Démarrer.

• Laisse le logiciel télécharger ses mises à jour.
• Assure-toi que la case Supprimer les menaces détectées soit bien cochée et coche la case Analyser les archives.
• Puis clique sur Paramètres avancés : coche les cases Rechercher les applications potentiellement indésirables et Rechercher les applications potentiellement dangereuses.
• Assure-toi que la case Activer la technologie Anti-Stealth (anti-furtivité) soit cochée.

Désactive ton antivirus afin de ne pas ralentir l'analyse et de ne pas afficher des messages d'alerte

• Ferme Internet.
• Clique sur Démarrer pour lancer l’analyse. Cela peut durer longtemps. Laisse l’outil travailler sans l’interrompre.
• Si aucune menace n'est détectée dis le moi simplement dans ta prochaine réponse.
• Si des menaces sont trouvées, elles seront supprimées automatiquement.
• Dans ce cas, génère le rapport en cliquant sur Liste des menaces détectées puis Exporter dans un fichier texte...
• Poste le contenu du rapport sur le forum.

[bdfle]

De bon matin, tala tala tala....

Bonjour guugues !

Après une nuit de moulinage, voici les 2 menaces trouvées :

C:\Users\Benoit\Downloads\freeripmp3-setup.exe menaces multiples nettoyé par suppression - mis en quarantaine
C:\Users\Benoit\Downloads\WinZip170.exe une variante de Win32/OpenInstall Application nettoyé par suppression - mis en quarantaine

Merci d'avance pour ton expertise !

Benoit