MySearchDial : PC infecté ?

[Pomme]

Bonjour,

Ce matin, j'ai eu la mauvaise surprise de voir une fenêtre de Microsoft Security s'ouvrir, me disant que j’étais infectée par trojan-PSW.Win32.launch et hacktool :Win32/welevate.A
Avec un message dans une autre fenêtre, disant « Microsoft Antivirus has found critical process activity on your PC. You need to clean your computer to prevent the system breakage ».
Je me suis méfiée, je n’ai pas cliqué sur le OK de cette deuxième fenêtre. Donc j’ai fait CTRL ALT SUPPR pour arrêter le processus, j’ai tout fermé proprement, et j’ai rallumé le PC.

Voici le rapport Malwarebytes :

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.03.05.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
SERIH SARL :: PCSECRETARIAT2 [administrateur]

Protection: Activé

05/03/2014 11:49:46
MBAM-log-2014-03-05 (12-10-24).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 221032
Temps écoulé: 5 minute(s), 39 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 6
HKCR\CLSID\{D40753C7-8A59-4C1F-BE88-C300F4624D5B} (PUP.Optional.MySearchDial.A) -> Aucune action effectuée.
HKCR\TypeLib\{C292AD0A-C11F-479B-B8DB-743E72D283B0} (PUP.Optional.MySearchDial.A) -> Aucune action effectuée.
HKCR\esrv.mysearchdialESrvc.1 (PUP.Optional.MySearchDial.A) -> Aucune action effectuée.
HKCR\esrv.mysearchdialESrvc (PUP.Optional.MySearchDial.A) -> Aucune action effectuée.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Aucune action effectuée.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Données: 0A2O0R1R1H2Z1S1G0H1F -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.MySearchDial.A) -> Mauvais: (http://start.mysearchdial.com/?f=1&a=te ... 729232&ir=) Bon: (http://www.google.com) -> Aucune action effectuée.

Dossier(s) détecté(s): 5
C:\Users\SERIH SARL\AppData\Roaming\mysearchdial (PUP.Optional.MySearchDial.A) -> Aucune action effectuée.
C:\Users\SERIH SARL\AppData\Roaming\mysearchdial\icons_2.2.8.1247 (PUP.Optional.MySearchDial.A) -> Aucune action effectuée.
C:\Users\SERIH SARL\AppData\Roaming\mysearchdial\UpdateProc (PUP.Optional.MySearchDial.A) -> Aucune action effectuée.
C:\ProgramData\IePluginService (PUP.Optional.IePluginService.A) -> Aucune action effectuée.
C:\ProgramData\IePluginService\update (PUP.Optional.IePluginService.A) -> Aucune action effectuée.

Fichier(s) détecté(s): 9
C:\Users\SERIH SARL\AppData\Local\Temp\setup.exe (PUP.Optional.AirInstaller) -> Aucune action effectuée.
C:\Users\SERIH SARL\AppData\Local\Temp\UpdateTask.exe.20652161 (PUP.Optional.MySearchDial.A) -> Aucune action effectuée.
C:\Users\SERIH SARL\AppData\Local\Temp\fullpackage_temp1390901385\package1.zip (PUP.Optional.SkyTech.A) -> Aucune action effectuée.
C:\Users\SERIH SARL\AppData\Local\Temp\is609929163\22546125_Setup.EXE (PUP.Optional.InstallCore) -> Aucune action effectuée.
C:\Users\SERIH SARL\AppData\Local\Temp\~nsu.tmp\Au_.exe (PUP.Optional.Bandoo.A) -> Aucune action effectuée.
C:\Users\SERIH SARL\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_pflphaooapbgpeakohlggbpidpppgdff_0.localstorage (PUP.Optional.FunMoods.A) -> Aucune action effectuée.
C:\Users\SERIH SARL\AppData\Roaming\mysearchdial\icons_2.2.8.1247\62.ico (PUP.Optional.MySearchDial.A) -> Aucune action effectuée.
C:\Users\SERIH SARL\AppData\Roaming\mysearchdial\icons_2.2.8.1247\80.ico (PUP.Optional.MySearchDial.A) -> Aucune action effectuée.
C:\ProgramData\IePluginService\update\conf (PUP.Optional.IePluginService.A) -> Aucune action effectuée.

(fin)

j'ai passé ensuite ADWcleaner, mais il ne semble avoir rien trouvé.

Je vous remercie par avance de votre aide.

[angelique]

. Tu as bien supprimé toute la sélection trouvé par Malwarebytes Anti-Malware ???


.

1. Télécharge sur ton Bureau pas ailleurs FRST.EXE:
   
   
   
   La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
   Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
   (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
   
   !! Placez le programme sur le bureau et pas ailleurs!!
2. Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
   Le scan se lance, les éléments scannés apparaissent en haut.
3. Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
   
   
   Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
   
   

[Pomme]

Bonjour Angélique,

Non, je n'ai pas osé supprimer tout ce que Malwarebytes a trouvé. J'ai cru voir des clés de registre dans la liste, et "on" m'a toujours dit de ne pas toucher aux clés de registre.
Donc faut-il avant tout relancer Malwarebytes et supprimer la liste de ce qu'il va trouver ?

[angelique]

Oui tout à fait , relance et supprime toute la sélection, puis fait FRST comme expliqué.

[Pomme]

Rapport FRST :
http://pjjoint.malekal.com/files.php?id ... 5g7u13b7m6

[Pomme]

Rapport Addition :
http://pjjoint.malekal.com/files.php?id ... 11j14b13y5

[angelique]

Ton rapport est OK

. vide la quarantaine de Malwarebytes

. Ne garde pas adwcleaner car il est regulierement mis à jour , donc relance le et clic desinstallation.


Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés. C'est notamment le cas sur 01net et Softonic qu'ils est conseillé d'éviter comme sites de téléchargement.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installer des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

[Pomme]

Tout est OK ? Merci Angélique !

Quarantaine Malwarebytes vidée, et Adwcleaner désinstallé.

Je fais toujours attention aux petites cases à cocher ou décocher lors de téléchargement. Avast veut régulièrement installer Chrome. Pour le reste, je tente de suivre au mieux vos bons conseils.

Encore une fois, mille mercis Angélique.

[angelique]

Je fais toujours attention aux petites cases à cocher ou décocher lors de téléchargement. Avast veut régulièrement installer Chrome

Oui pour avast avec les 2 cases chrome, quand on le sait , on décoche.

Par contre, des fois meme les petites cases à décocher (en installatalation personnalisée) et ça s'installe quand meme, d'ou mon conseil qui est de demander une application pour quel utilisation et tu seras conseillé sur des applications propres.


Il est important de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer flash ( voir 3 - Le format SWF (Flash) et les risques liés à son utilisation - http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html - ), JavaScript, et\ou Iframe pourries sur sites compromis potentiellement générateur d'infections ( - http://forum.malekal.com/les-exploits-s ... t3563.html - )!!


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/ < https://download.mozilla.org/?product=f ... in&lang=fr > ou setup d'installation hors ligne > http://www.mozilla.org/en-US/firefox/all/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock



List FR + EasyList << à mettre à jour regulièrement ainsi que les autres





NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/

Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/