[Résolu] Infection security tool (faux antivirus)...

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Re: Infection security tool (faux antivirus)...

Messagepar Falkra » 03 Mar 2010 14:28

Pas bon, tout ça...

Télécharge OTMoveIt (OTM) par OldTimer.
  • Enregistre ce fichier sur le Bureau.
  • Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  • Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
    Code: Tout sélectionner
    :processes
    :files
    C:\ProgramData\07296327
    C:\Users\Christine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winesm32.exe

    :reg
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\07296327]

    :commands
    [emptytemp]
  • Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  • Clique sur le bouton rouge Moveit!.
  • Ferme OTMoveIt3
  • Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection security tool (faux antivirus)...

Messagepar TILK » 03 Mar 2010 14:39

Voilà après un reboot, le rapport :

------------------------------------------

All processes killed
========== PROCESSES ==========
========== FILES ==========
File/Folder C:\ProgramData\07296327 not found.
File/Folder C:\Users\Christine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winesm32.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\07296327\ deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: [nom]
->Temp folder emptied: 3673470 bytes
->Temporary Internet Files folder emptied: 1227892 bytes
->Java cache emptied: 82029 bytes
->FireFox cache emptied: 26800138 bytes
->Flash cache emptied: 43993 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41620 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 989326 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 10966631 bytes
RecycleBin emptied: 3878831 bytes

Total Files Cleaned = 45.00 mb


OTM by OldTimer - Version 3.1.10.0 log created on 03032010_185500

Files moved on Reboot...

Registry entries deleted on Reboot...

------------------------------------------
TILK
Libellulien Junior
Libellulien Junior
 
Messages: 216
Inscription: 28 Mai 2008 15:45

Re: Infection security tool (faux antivirus)...

Messagepar TILK » 03 Mar 2010 19:01

IL reste à faire quelque chose ou l'infection a été éliminée?
Et si elle est éliminée, je peux supprimer le dossier sur le "disque C" le dossier "_OTM"

PS: en tout cas dans msconfig je ne vois plus le truc.
TILK
Libellulien Junior
Libellulien Junior
 
Messages: 216
Inscription: 28 Mai 2008 15:45

Re: Infection security tool (faux antivirus)...

Messagepar Falkra » 03 Mar 2010 20:07

Rien ne presse pour supprimer quoi que ce soit. ;)

Comme se comporte la machine ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection security tool (faux antivirus)...

Messagepar TILK » 03 Mar 2010 20:38

La machine se comporte comme neuve :ange: comme avant l'infection. D'ailleurs comme le Rog avait été bloqué, l'infection ne posait déjà plus de problème. mais je savais qu'il restait des traces.

2 questions :
-Alors penses-tu que je peux supprimer le dossier " _OTM" ?
-Lors de mon execution inconsciente de combofix, l'ordinateur a sifflé plusieurs fois comme quand un composant est malbranchés avant de faire un BSOD, pourquoi et comment un logiciel peut faire émettre des bruits aux composants d'un PC?


PS : J'ai mis à la poubelle pour faire le ménage le dossier Quarantine (Mcafee qui est désinstallé maintenant), Qomodo (un truc comme ça, créer par combofix je crois) et le dossier contenant le log du scanner, ceci se trouvaient dans la racine du Disque C.
TILK
Libellulien Junior
Libellulien Junior
 
Messages: 216
Inscription: 28 Mai 2008 15:45

Re: Infection security tool (faux antivirus)...

Messagepar Falkra » 03 Mar 2010 22:06

IL ne faudrait pas que ça tourne à l'obsession, ce ménage. Heh, ça ne craint rien. ;)

Quoi tu as effacé C:\Qoobox ? :plaf:
Il faut faire les choses quand c'est le moment, et pas avant ! :paf:

Désinstaller combofix ça se fait comme ça : entre combofix /uninstall dans la boite exécuter du menu démarrer.
=> combofix espace slasht uninstall
Ca supprime correctement tout, notamment
C:\QooBox
Et les éléments comme celui du bureau, etc... du coup j'espère que tu n'as pas déjà pris les devants (je te l'ai déjà dit)...

Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up!

Et si tu as atrocement peur qu'il en reste, télécharge OTC d'Old Timer :
http://oldtimer.geekstogo.com/OTC.exe
Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux.

Ensuite on fera un peu de prévention et sécurisation, ça s'évite, un rogue...
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection security tool (faux antivirus)...

Messagepar TILK » 04 Mar 2010 22:59

ok merci, je crois que je vais me passer de OTC d'Old Timer comme j'ai l'impression qu'il ne reste plus rien.
J'ai fait comme dit pour OTMoveit et du coup ça a aussi supprimé combofix aussi que je n'arrivais pas à installer comme tu disais.

Bref merci beaucoup pour ton aide Falkra.

J'ai installé Firefox avec NoScript + Antivir à la place de internet explorer 8 et Mcafee. J'espère que les membres de ma famille se méfieront dorénavant. :mrgreen:

:tucartonnes
TILK
Libellulien Junior
Libellulien Junior
 
Messages: 216
Inscription: 28 Mai 2008 15:45

Re: Infection security tool (faux antivirus)...

Messagepar Falkra » 04 Mar 2010 23:14

De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement.

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.
PSI de Secunia peut t'y aider. https://psi.secunia.com/
JavaRa peut t'y aider pour Java : http://raproducts.org/
Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres.
Et bien sûr, il y a Windows Updates.

Rends toi sur cette page de configuration du plugin Flash.
Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours.
Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage.

Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares.
Pour tout savoir sur le plugin flash : la FAQ du plugin Flash

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) :
Image (clique sur l'image).

Plus d'infos dans la FAQ sécurité du site.

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Précédente

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités