Infection Ihavenet.com [Résolu/Fermé]

Signaler
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
-
 Utilisateur anonyme -
Bonjour,

J'ai depuis aujourd'hui un souci avec mon PC portable : lorsque je fais une recherche google depuis firefox, les redirections ne fonctionnent la plupart du temps pas correctement, et m'ouvrent une page du type ihavenet.com/blablabla.

Je n'ai pas testé sur internet explorer.

J'ai fait un scan Malwarebyte, mais ça n'a rien trouvé.

Quelqu'un pourrait-il m'aider SVP ?

D'avance merci à tous


20 réponses

Messages postés
199
Date d'inscription
lundi 27 décembre 2010
Statut
Membre
Dernière intervention
15 décembre 2013
25
Salut,

Télécharge le Logiciel RogueKiller, lance un diagnostique et attend un Helper j'en connais certains comme : ComputerHelp ou Electrician 69

Tu n'as qu'à les MP


Allez a+ ;)
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012

Merci pour l'info. J'ai exécuté Roquekiller et voilà le rapport d'analyse. Si quelqu'un peut m'aider, merci bien (je n'y comprends rien ...)

RogueKiller V8.4.0 [Dec 12 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur : bdulay [Droits d'admin]
Mode : Recherche -- Date : 17/12/2012 22:12:24

¤¤¤ Processus malicieux : 2 ¤¤¤
[][DLL] rundll32.exe -- C:\Windows\System32\rundll32.exe : C:\Users\bdulay\AppData\Roaming\iesysprepr.dll -> TUÉ [TermProc]
[][DLL] rundll32.exe -- C:\Windows\SysWOW64\rundll32.exe : C:\Users\bdulay\AppData\Roaming\iesysprepr.dll -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : ihoapjm (rundll32 "C:\Users\bdulay\AppData\Roaming\iesysprepr.dll",Tnqc) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-911870514-1583957971-2116629643-1000[...]\Run : ihoapjm (rundll32 "C:\Users\bdulay\AppData\Roaming\iesysprepr.dll",Tnqc) -> TROUVÉ
[TASK][RESIDUE] ProgramDataUpdater : C:\Windows\System32\rundll32.exe aepdu.dll,AePduRunUpdate -> TROUVÉ
[TASK][RESIDUE] Proxy : C:\Windows\System32\rundll32.exe /d acproxy.dll,PerformAutochkOperations -> TROUVÉ
[TASK][RESIDUE] SR : C:\Windows\System32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation -> TROUVÉ
[TASK][RESIDUE] IpAddressConflict1 : C:\Windows\System32\rundll32.exe ndfapi.dll,NdfRunDllDuplicateIPOffendingSystem -> TROUVÉ
[TASK][RESIDUE] IpAddressConflict2 : C:\Windows\System32\rundll32.exe ndfapi.dll,NdfRunDllDuplicateIPDefendingSystem -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++
--- User ---
[MBR] 9a79c0d7b2a2aaa74b759b517b60fa03
[BSP] a23e0892a2dcb12a0b64f172e04ec691 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 152386 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 312907776 | Size: 152457 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_17122012_221224.txt >>
RKreport[1]_S_17122012_221224.txt

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com/files/1731274/ecd939269bcc7cdfed2d2e726c22709a32db3067/winlogon.exe

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://cjoint.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log
softy666
Messages postés
199
Date d'inscription
lundi 27 décembre 2010
Statut
Membre
Dernière intervention
15 décembre 2013
25
Ah ! Bah en voilà un d'Helper ! Bonne chance à vous deux !
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012

Merci pour votre support.

Voici le lien vers le rapport

http://cjoint.com/?BLrxc7JVoAu

Le lien vers Close.log est là : http://cjoint.com/?BLrxfdipqBC

t'as pas desactivé l'auto sandbox d'avast !

relance l outil clique sur Scan|Kill , puis re-heberge le rapport
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012

Oups, désolé. :-(

C'est fait, je relance, et reposte les 2 fichiers dès que c'est terminé...

ok
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012

Re-moi.

Donc, le rapport http://cjoint.com/?BLrx7q0glGW

Et le close.log http://cjoint.com/?BLsaaDZGIJH

Merci encore

bien relance l'outil , clique sur diag et herberge le rapport pre_diag et donne le lien
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012

Voilà la bête :-)

http://cjoint.com/?BLsawdzKHGc
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012

je file au lit, la suite demain :-)
Utilisateur anonyme
moi aussi je file au lit la suite demain ^^

re

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : http://cjoint.com/?BLsiIUck7zS

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012

Bonjour,

Merci pour votre aide matinale. J'ai fait la manip et voilà le lien pour le fichier Pre_Script.txt :
http://cjoint.com/?BLsjaIdzwzR

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012

Ca y est, l'examen complet est terminé, j'ai redémarré l'ordi et voilà le dernier rapport :

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.18.03

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
bdulay :: BDULAY-TOSH [administrateur]

18/12/2012 09:13:39
mbam-log-2012-12-18 (09-13-39).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 427864
Temps écoulé: 50 minute(s), 28 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\bdulay\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

magnifique si plus de soucis on peut faire le menage ?
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012

Ca marche nickel ! Merci beaucoup.
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012

OK, merci pour les conseils, et encore merci pour votre aide !

:)