Virus / pup qui s'installent + trojan blocage de fichiers

[WMath]

Bonjour

(Un peu dur de pas commencer ce post par un "A l'aide !" a la place de la marque de politesse je suis un peu (beaucoup) inquiet).

Mon problème a commencé par un download qui m'a fait installé web search par inattention je l'ai donc de suite supprimé ayant remarquer que des pup s'était installé un peu partout.
Un peu plus tard le jour suivant je constate que certains fichiers se sont réinstallé (au début peu) malwares bytes m'envoie quelques messages, je choisi donc de supprimé les fichiers et je le fait à la main ensuite au cas ou et au passage je redémarre mozilla firefox avec les modules désactivés, je vérifie bien que la toolbar web search est supprimé dedans.

Après je n'ai plus eut de problème (je pense que surtout je ne l'ai pas vu) et aujourd'hui plus tôt dans la journée je lance mon pc, et là alerte malwaresbytes, plein de pup 21 et 2spywares, je décide donc de les supprimés depuis malwares et inquieté je vais sur le net pour trouvé des solutions fasse à ses virus qui se réinstallent tout seul (je n'ai rien téléchargé depuis le download qui avais installé web search).

Je vais sur un forum, j'utilise AdwCleaner, puis OTL (je passe les liens pjjoin) mais pas de réponse.
Je lance malwaresbytes et il me trouve un trojan (seulement maintenant) je le supprime donc vite ! Puis le pc demande de redémarré, j’exécute donc cette action au retour, je vois des fichiers (2) Desktop.ini qui sont apparu sur le bureau, un sécurisé (accès refusé) mais j'arrive à l'ouvrir et un autre ouvrable, tout deux en fichiers cachés.

Sur le nom sécurisé il y est noté :

[.ShellClassInfo]
[email protected]%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183

[LocalizedFileNames]

Et le sécurisé :


[.ShellClassInfo]
[email protected]%SystemRoot%\system32\shell32.dll,-21799
[LocalizedFileNames]
Packard Bell [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Enregistrement Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Registrazione Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Registro de Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Registo Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Registrering af Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell Rekisterö[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Registrace Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell Εγγραφή[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell Regisztráció[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Rejestracja — Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell Kayı[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Înregistrare Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Регистрация Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell ユーザー登録[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell 注册[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell 註冊[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell Reģistrā[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell Регистрация[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
การลงทะเบียน Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell تسجيل[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell - Registrá[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Registracija Packard [email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
Packard Bell 등록[email protected]:\Program Files (x86)\Packard Bell\Registration\GlobalRegistrationMUI.dll,-104
User's Guide (Packard Bell InfoCentre)[email protected]:\Program Files (x86)\Packard Bell\InfoCentre\MUIInfoCentre.dll,-101
Norton Internet [email protected]:\PROGRA~2\NORTON~2\Branding\muis.dll,-102

Et bien pire, des nouveau fichiers cachés sont apparu dans mon disque C: : "$Recycle.Bin" et "Documents and Settings" tout deux avec accès refusé.
Et encore pire (!) dans programData 25% des fichiers se sont bloqués en accès refusé comme Documents, quand j'arrive à y entré par le menu démarrer ma musique, mes images et d'autres sont passé en fichiers cachés et en accès refusé et là encore un fichier texte desktop.ini.

Je suis assez inquiet c'est pour cela que je viens directement sur un gros forum pour exposé mon problème car je n'ai rien télécharger entre les spywares du début d'après midi et le trojan du soir mise à part ADW et OTL (ainsi que Pjjoin pour le fichier texte OTL et Extras.

Merci d'avance pour de l'aide car là je me retrouve totalement perdu :(

(edit : j'ai voulu supprimé un autre dossier n'ayant pas les droit j'ai voulu aller dans la sécurité et j'y ai trouvé un utilisateur : Trustedinstaller avec tout les droits sur le fichiers)

[Malekal_morte]

Salut,

Pas grave pour les fichiers cachés et système.
Faut enlever l'affichage : http://forum.malekal.com/afficher-les-f ... 18239.html

[WMath]

c'est pas les fichiers cachés qui m'inquiète c'est ça :





et le fait que j'ai encore des virus sans rien faire, y'a pas un moyen de régler ça ?

[Malekal_morte]

Ce n'est pas anormal.
A mon avis, tu n'as pas de virus, tu psychotes.

Donne le rapport Malwarebytes.

[WMath]

Je viens de finir l'analyse y'a plus rien ça a marcher (le rapport annonce rien du tout de trouvé). je commençais a désespéré (en espérant pas rallumé le pc une prochaine fois et ravoir une alerte (c'est se qu'il s'est passé plusieurs fois jusque là :s))

Par contre comment je peu faire pour tout les fichiers qui se sont locks ? J'ai même plus accès aux fichiers musiques / images, a part en le faisant de manière détournée. C'est une conséquence de OTL ?

[Malekal_morte]

Tu vas pas au bon endroit.
Menu Démarrer / Documents

[WMath]

Et y'a pas moyen de les dé-locker ? Par exemple si vais dans : Documents (depuis le menu démarrer) Je ne peut pas rentré dans vidéo par exemple, et j'ai pas de lien pour dans le menu démarrer.

Et si je passe par utilisateur/Mes documents je n'ai pas accès à certains fichiers par exemple (comme justement mes vidéo et les autres) ok y'a le menu démarrer mais dans la mesure ou moi je sais qu'il faut passé par le menu démarrer une autre personne (que je connais je veut dire par un hackeur ^^) utilise mon pc il ne le sauras pas forcement, et bien sûr certains fichiers sont fermés, même à moi.

Il y a pas un moyen de les ouvrir (comme vidéo ou des dossiers dans programData) et je préfère avoir le contrôle de mon pc au lieu d'avoir des propres dossier non ouvrable ^^

(edit j'ai aussi noté un programme avec un nom bizarre "sAvvenshaarei" je préfère demander ce que c'est vu que c'est nouveau ^^')

[WMath]

Il y a vraiment pas de solution pour retiré le verrouillage ? Une histoire d’administrateur sur le pc ?

Parce que même mes anti-virus ne savent pas analyser ses fichiers-ci.

[WMath]

Hors du problème des verrouillage l'infection n'est pas terminée .

Avant-hier soir comme je le disait, je n'avais pas de virus / éléments reconnu comme malveillant par Malwaresbytes (à 23h56). J'ai ensuite éteind le pc vers minuit, et ne l'ai pas ralumé avant aujourd'hui 21h, j'ai lancer une analyse complete malwaresbytes et un spyware trouvé.

Je passe le rapport malware :

Malwarebytes Anti-Malware (PRO) 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2013.08.24.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16660
mathieu :: MATHIEU-PC [administrateur]

Protection: Activé

24/08/2013 21:21:53
24-08-13.txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 489743
Temps écoulé: 1 heure(s), 13 minute(s), 40 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Program Files (x86)\Steam\SteamApps\downloading\212910\t6zm.exe (Spyware.Zbot.USBV) -> Aucune action effectuée.

(fin)

Une idée de ce qui cloche ? Je n'ai pas allumé du tout mon pc hier, avant hier j'ai éteint mon pc après une analyse. Et là je le rallume et bam un spyware et pourtant je n'est été sur aucun site internet ...

(edit : je suis juste passer sur Youtube et Twitch en fait avant d'éteindre)

[Malekal_morte]

Mets en quarantaine puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

[WMath]

Rapport OTL :

OTL :
http://pjjoint.malekal.com/files.php?id ... z9h6c14b14

Pas de fichier Extra

(edit 15:33 dimanche) je viens d'allumer le pc et le même spyware que j'ai supprimé la veille est revenu. Je vais relancer une analyse, je peu faire que ça pour l'instant :(

[WMath]

toujours pas de solution ? :s

[Malekal_morte]

y a rien d'anormal.
Java a pas l'air à jour.
Désinstalle Google Toolbar.

[WMath]

Le java du pc ou le java "Java Deployment Toolkit" quand on regarde dans les pluggins ?

Parce que le java du pc à un problème je crois, pendant un moment il m'indiquais une mise à jour, mais ne la faisait jamais, j'ai remarquer qu'en fait quelque chose bloquais la mise à jour, du coup j'ai suivi ce que j'ai vu sur le site java mais j'suis pas trop sûr que sa ai marché

[Malekal_morte]

Vas dans le Panneau de Configuration puis Programmes et Fonctionnalités
Désinstalle Java
Mets la dernière version : http://www.java.com/fr/

Désactive Java de tes navigateurs WEB : http://www.commentcamarche.net/faq/3562 ... ateurs-web