Virus "navigation vers le web annulée" [Résolu/Fermé]

Signaler
-
anthony5151
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
-
Bonjour,

suis infecté par le virus "navigation vers le web annulée" .
J'ai suivi les instructions décrites sous http://gen-hackman.forum-pro.fr/t100-otlpenet-sous-windows-7-en-iso

voici les rapports :

Le Rapport OTL
http://pjjoint.malekal.com/files.php?id=OTL_20120904_p9h9t9z15x13

Le rapport Extras
http://pjjoint.malekal.com/files.php?id=OTL_Extras_20120904_n7e12z14g11p12

Que faire ensuite...? Merci de votre aide

17 réponses

Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Ce script va cibler certains éléments à supprimer pour débloquer ton ordinateur :
* Relance OTLPE
* Copie/colle ce script dans le cadre "Custom Scans/Fixes"
* Clique sur « Run Fix» et laisse l'outil travailler.
* Copie/colle la totalité du rapport dans ta prochaine réponse.


Après ça, tu devrais pouvoir redémarrer l'ordinateur normalement. On pourra alors s'occuper d'un autre problème présent sur ton ordinateur : les logiciels publicitaires... Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme 01net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.


1) Utilise cet outil de désinfection spécifique aux logiciels publicitaires :

¶ Télécharge AdwCleaner (de Xplode) sur ton Bureau.
¶ Lance le, clique sur Suppression puis patiente le temps du scan.
¶ Une fois la suppression terminée, un message de prévention va s'afficher, je te conseille de le lire attentivement (n'hésite pas à me poser des questions si tu n'as pas compris certaines choses dans ce message).
¶ Ensuite, le rapport s'ouvrira : poste le dans ta prochaine réponse.


2) Utilise ce logiciel de désinfection généraliste :

¶ Télécharge et installe Malwarebytes' Anti-Malware
¶ A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. Par contre, il n'est pas nécessaire d'activer l'essai gratuit pour la protection.
¶ Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
¶ Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
¶ A la fin de l'analyse, clique sur Afficher les résultats
¶ Coche tous les éléments détectés puis clique sur Supprimer la sélection
¶ S'il t'est demandé de redémarrer l'ordinateur, accepte.
¶ Poste dans ta prochaine réponse le rapport apparaissant après la suppression.


3) Utilise ce logiciel de diagnostic pour voir s'il reste des choses à supprimer :

* Télécharge OTL sur ton Bureau.
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Coche la case "tous les utilisateurs" puis clique sur le bouton "Analyse"
* Patiente pendant l'analyse jusqu'à l'apparition des deux rapports OTL.txt et Extras.txt
* Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de OTL et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Bonjour,

et merci de passer un peu de temps à m'aider. J'ai "fixé" le problème avec le script sous OLP.
J'ai redémarré mon PC, mais là plus de bureau....!? Je lance les process à la main via le gestionnaire des tâches; aurais-tu une idée pour retrouver mon desktop ?

Ci-joint le log :
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\gdupin\AppData\Roaming\1.exe deleted successfully.
D:\Users\gdupin\AppData\Roaming\1.exe moved successfully.
Registry value HKEY_USERS\gdupin_ON_D\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\gdupin\AppData\Roaming\1.exe deleted successfully.
File D:\Users\gdupin\AppData\Roaming\1.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\\AlternateShell deleted successfully.
D:\Users\gdupin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk moved successfully.
File D:\Users\gdupin\AppData\Roaming\1.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: ajoutpc
->Temp folder emptied: 67696 bytes
->Temporary Internet Files folder emptied: 122986 bytes

User: All Users

User: CLUCAS
->Temp folder emptied: 51307578 bytes
->Temporary Internet Files folder emptied: 383383639 bytes
->Java cache emptied: 222407 bytes
->FireFox cache emptied: 46436504 bytes
->Flash cache emptied: 3519135 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User

User: dteneau

User: gdupin
->Temp folder emptied: 448869364 bytes
->Temporary Internet Files folder emptied: 161165568 bytes
->Java cache emptied: 1094681 bytes
->FireFox cache emptied: 667451236 bytes
->Google Chrome cache emptied: 341993794 bytes
->Flash cache emptied: 29198 bytes

User: ghost
->Temp folder emptied: 1429048 bytes
->Temporary Internet Files folder emptied: 18366857 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 29860949 bytes
->Flash cache emptied: 434 bytes

User: glasserre

User: mlavergne

User: mlestienne

User: prodware
->Temp folder emptied: 66001 bytes
->Temporary Internet Files folder emptied: 116513 bytes
->Java cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 289478371 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 118584 bytes

Total Files Cleaned = 2 332,00 mb


OTLPE by OldTimer - Version 3.1.48.0 log created on 09042012_163930
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Au redémarrage suivant, as-tu retrouvé ton numéro ?
Si c'est le cas, j'attends les rapports suivants ;)

A quel N° fais-tu référence ?
Quels rapports veux-tu ? dois-je refaire un démarrage avec OTLP et faire un rapport OTL + rapport extras ?

merci de ton aide,
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Je voulais dire "ton Bureau" et pas "ton numéro", désolé (lapsus ^^).

Pour les rapports, je parlais d'AdwCleaner, MalwareBytes et OTL (pas depuis le CD avec OTLPE, mais en faisant comme indiqué dans la seconde partie de ce message).
Bonjour,

ai suivi tes instructions, voici ce que je peux te communiquer :

- Rapport Adwcleaner : pas réussi à le récupérer car le rapport ne s'ouvre pas en auto au redémarrage.

- Rapport MalwareBytes :
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.09.05.01

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
gdupin :: PRODWARE-PC [administrateur]

05/09/2012 07:35:37
mbam-log-2012-09-05 (07-35-37).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 314109
Temps écoulé: 17 minute(s), 19 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 4
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Mauvais: (Explorer.exe,C:\Users\gdupin\AppData\Roaming\1.exe) Bon: (Explorer.exe) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


- Rapport Extras :
http://pjjoint.malekal.com/files.php?id=OTL_Extras_20120905_p6r5o8h13o5
- Rapport OLT :
http://pjjoint.malekal.com/files.php?id=OTL_20120905_z12v13m14g9t11
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Normalement, le rapport d'AdwCleaner est enregistré à la racine du disque C : C:\AdwCleaner[S1].txt. Ce n'est pas grave si tu ne le trouves pas, d'après le rapport OTL, AdwCleaner a bien fait son travail :)


Ce script va cibler les dernières éléments à supprimer :

* Ouvre ce lien, sélectionne le script qu'il contient en entier et copie le (Édition --> Copier)
* Lance OTL (si tu es sous Windows vista ou 7, fais un clic-droit dessus et choisis "exécuter en temps qu'administrateur")
* Colle le script dans la zone "personnalisation"
* Clique sur « Correction » et laisse l'outil travailler. Il est possible que l'ordinateur redémarre.
* Copie/colle la totalité du rapport dans ta prochaine réponse.


Après ça, ton ordinateur ne sera plus infecté. Voici les conseils de finition :


1) Sécurise ton ordinateur

* Logiciels de protection :
Garde un antivirus (Trend Micro OfficeScan dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins. Je te conseille donc de désactiver Windows Defender et surtout de désinstaller Spybot qui est totalement inutile et dépassé.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser la dernière version du navigateur Mozilla Firefox (la tienne n'est pas à jour). Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Si tu préfères utiliser Google Chrome, il existe des extensions équivalentes :
- WOT
- AdBlock

* Plusieurs logiciels ne sont pas à jour sur ton ordinateur, cela rend ton ordinateur vulnérable :
- Internet Explorer : Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes. Si Internet Explorer n'y est pas, télécharge et installe IE 9 depuis ce lien : IE 9
- Adobe Reader : Désinstalle le puis télécharge et installe la nouvelle version ici (tu peux décocher le programme qui est proposé en option lors du téléchargement).
- Flash Player : Ferme ton navigateur, puis désinstalle toutes les versions de Adobe Flash Player. Ensuite, télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option avant de cliquer pour lancer le téléchargement).
- Java : Désinstalle le puis télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)
- OpenOffice, deux possibilités : soit tu télécharges la dernière version ici, soit tu le désinstalles et tu le remplaces par LibreOffice qui est basé sur OpenOffice mais bien plus suivi par ses développeurs.
- VLC : télécharge la dernière version ici.

* Pour éviter d'autres failles de sécurité à l'avenir, je me permets de te signaler l'existence d'une lettre d'information proposée en bas à gauche de ce site (pour information, je suis l'une des personnes qui rédigent ces newsletters). En t'inscrivant, tu recevras un e-mail dès que des mises à jour importantes pour la sécurité de ton ordinateur sont disponibles. Ces messages contiendront des explications pour savoir comment procéder, au cas où tu ne te sentes pas à l'aise pour le faire seul.



2) Optimisation :

* Télécharge Ccleaner. Installe le et lance le. Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : Adobe Reader Speed Launcher / Adobe ARM / CanonMyPrinter / CanonSolutionMenu / FingerPrintSoftware / FingerPrintSoftwareSplashScreen / Acrobat Assistant 8.0 / QuickTime Task

* Télécharge ce fichier --> lance le --> accepte la modification du Registre.

* Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.



4) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Hello,

ci-joint le rapport:

========== OTL ==========
Prefs.js: {99079a25-328f-4bd4-be04-00955acaa0a7}:4.4.1.00 => Infection PUP (Adware.Bandoo) removed from extensions.enabledItems
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\PROGRA~2\WIA6EB~1\Datamngr\x64\datamngr.dll deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\PROGRA~2\WIA6EB~1\Datamngr\x64\IEBHO.dll deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EC08ABAB-052D-49D4-B600-16D5F935DC63}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EC08ABAB-052D-49D4-B600-16D5F935DC63}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
C:\Users\gdupin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum folder moved successfully.
Folder C:\ProgramData\0C1CFB1303AA72971AD8ACBE4F147C45\ not found.

OTL by OldTimer - Version 3.2.61.0 log created on 09052012_142034
Ci-dessus le rapport OTL, mais au re-démarrage, toujours pas de bureau...
J'ai refait tourner OTL voici les derniers rapports :

Rapport extras :
http://pjjoint.malekal.com/files.php?id=OTL_Extras_20120905_b11f6y13i14c13

Rapport OTL :
http://pjjoint.malekal.com/files.php?id=OTL_20120905_l13x14b9e15k14

Merci de ton aide,
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Il n'y a que explorer.exe que tu dois lancer manuellement via le gestionnaire des tâches ou il y a d'autres fichiers systèmes qui ne se lancent pas ?

Je dois tout lancer depuis le gestionnaire des tâches, le bureau reste Dark !
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Si tu lances explorer.exe, il ne se passe rien ?

Si je lance explorer.exe avec le gestionnaire des taches, j'ai l'explorateur windows qui s'ouvre sur fond de bureau noir...
Cf mon message de 14h50 sur lequel j'ai refait tourner OTL avec les 2 rapports.

Merci de ton aide
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
C'est mon script OTL qui a dû provoquer ça, il fonctionne différemment de l'outil que j'utilise habituellement... Pour rétablir ça, télécharge ce fichier --> lance le --> accepte la modification du Registre.

Fais redémarrer l'ordinateur et dis moi si c'est bon. Sinon télécharge LogonFix (de Xplode) --> lance le --> clique sur "Restaurer".

Tiens moi au courant.

Hello !!!

Retauration Shell : toujours desktop noir

Logonfix : j'ai retrouvé mon bureau !!!

Problème RESOLU, merci milles fois !!!

Bravo
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Tant mieux :)
N'oublie pas d'appliquer les conseils de finition indiqués ici si tu ne l'as pas encore fait, notamment la sécurisation qui est très importante.