Bonjour à tous, j'ai besoin de votre aide.  
 
Mon ordi est infecté par un malware particulièrement coriace: Digital Protection
 
Il s'agit d'un faux antivirus qui simule des attaques virales pour forcer les gens à acheter un anti-virus. Toutes les minutes, j'ai droit aux messages:
 

 
puis:  
 

 
ou:
 

 
puis:
 

 
tout ça pour arriver à ça:  
 

 
Ce truc a l'air récent. Les premiers résultats dans une recherche Google m'ont l'air suspects, ça m'a tout l'air d'une arnaque parallèle ou complice visant à télécharger encore plus de malwares malicieux.
 
Parmi les sujets là-dessus qui m'ont l'air honnête:
http://www.pc-infopratique.com/for [...] 50670.html
http://www.commentcamarche.net/for [...] protection
 
Je suis pommé là  

Bonsoir
 
tu as bien identifié la menace il s'agit bien d'un "rogue" mais suivant le "vecteur" par lequel il s'est introduit sur ton PC il peut être accompagné d'un "rootkit"
 
pour commencer fais ceci:
 
 

• Télécharge Malwarebytes antimalware  
• Tu auras ICI un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
• L'analyse peut durer un bon moment.....
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc note...héberge le rappot sur: cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
• Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Merci beaucoup pour ta réponse . Je vais faire tout ça et te tiens au courant  

Je viens de lancer l'examen complet, mais déjà pour la mise à jour, j'ai ce problème:
 

Bonjour
 
où en es tu ? as tu fait le scan ou pas?

Non, le scan a planté.
 
Ça devient vraiment urgent ! Cette merde s'affiche toutes les minutes et le surf est très ralenti  

essaie en mode sans échec avec prise en charge réseau
 
si tu ne peux pas fais ceci:
 

• Télécharge ZHPDiag
• clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
• Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

C'est-à-dire ?

c'est à dire que tu redémarre ton ordinateur en appuyant sur la touche F8 (ou F5 parfois)dans les choix proposés tu choisis :
"mode sans échec avec prise en charge réseau"
tu essaies ensuite la mise à jour et le scan avec MBAM  puis le ZHPdiag
 
 
note: ne fonctionne pas en Wifi

Ça y est, c'est fait !  On dirait que ça a marché, pourvu que ça dure.
 
Un grand merci pour ton aide.
 
Voilà le rapport: http://www.cijoint.fr/cjlink.php?f [...] LCm6Zg.doc
 
Pendant que je te tiens: quel anti-virus gratuit me conseillerais-tu ?

Bonjour
 
Malwarebytes a fait du bon boulot, essaie de me faire un scan avec ZHPDiag comme indiqué et de me montrer le rapport au format.txt(bloc note) pas sous word stp?
 
il est probable qu'ensuite je te demande d'exécuter unscan +nettoyage avec un autre logiciel
 
en ce qui concerne l'antivirus gratuit je te conseille soit "Antivir free édition" soit "Avast 5.0" MSE n'est pas mal non plus mais un peu plus lourd
n'installe rien pour l'instant nous verrons cela à la fin de la désinfection
 
 
 
 

OK Si j'ai collé le rapport dans Word, c'est parce que je n'ai pas trouvé l'adresse du fichier bloc-note dans mon répertoire (je suis vraiment pas doué   )
Dis-moi comment le trouver; ensuite je suis ton programme.
 
Merci encore, et si jamais tu as le temps: http://forum.hardware.fr/hfr/Windo [...] 7107_1.htm

et mon rapport ZHPDiag? le rapport qui s'ouvre est déjà au format texte il suffit de l'enregistrer (sur le bureau par exemple) et de l'heberger ensuite sur cijoint.fr

http://www.cijoint.fr/cjlink.php?f [...] Gxx6dg.txt
 
Excuse pour l'attente, je devais bosser avec l'ordi avant.

Bonsoir
pas de souci je ne suis pas non plus toujours devant l'écran  
 
il y a deux "toolbar" nuisibles ,"ASK toolbar" et "Searchsettings"qui ont été installés en même temps que d'autres logiciels gratuits eci se produit si on ne prend pas la précaution de décocher les options supplémentaires proposées au cours de l'installation,lire ici plus d'info
 
fais ceci pour t'en débarrasser:
 
 

• Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)      
• Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.    
•  /!\ Déconnecte-toi d’internet et ferme toutes applications en cours /!\
• Double-clique sur l'icône Ad-remover située sur ton Bureau.
• Sur la page, clique sur le bouton « Nettoyer »
• Confirme l'opération
• Laisse travailler l’outil.
• héberge  le rapport qui apparaît à la fin sur cijoint.fr et poste le lien fourni dans ta réponse

    (Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN[1].txt
 
    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)  

Quand je clique, j'ai une page blanche avec juste Ad blocked here by SPF. (mon pare-feu est Sunbelt Personal Firewall)    

essaie sur ce lien  
http://www.commentcamarche.net/tel [...] ad-remover

pareil : Ad blocked here by SPF.

qu'est ce que tu ne peux pas faire télécharger ou exécuter Adremover?

Oui. Comment ça marche> télécharger Ad-R, jusque là, ça marche > serveur 1 ou serveur 2 >page blanche.

c'est ton kério qui bloque
 
paramètre le ou bien désactive le le temps du téléchargement

http://www.cijoint.fr/cjlink.php?f [...] nr4J3s.txt

Bien ,nous voilà débarraser des "toolbar espionnes" comme je te le disais plus haut cette infection (digital protection)est souvent accompagnée d'un rootkit ,il est donc possible que je te demande de passer encore un autre loutil de désinfection
 
mais là il se fait tard et comme c'est un outil puissant je préfère remettre à demain
 
en attendant dis moi comment se comporte ton ordinateur,n'as tu plus d'alerte , plus de ralentissement ou de comportement bizarre ?
 

Tout fonctionne nickel, depuis le premier scan avec Malwarebytes.
 
   

bonsoir
 
malgré tout, il serait préférable que tu utilises ce logiciel pour être sûr de la parfaite éradication du malware
 
  /!\Le logiciel qui suit peut faire des dégâts s'il est mal utilisé ! Ne pas l'utiliser sans contrôle /!\
 
IMPORTANT: Désactive tous tes logiciels de protection Antivirus et Antispyware
 

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.

• Il va te demander d'installer la console de récupération : accepte.

• /!\ Ne touche à rien pendant le scan. /!\
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse ou mieux héberge le sur cijoint.fr et poste moi le lien fourni.

Tutoriel officiel de Combofix :

http://www.cijoint.fr/cjlink.php?f [...] aFJB8Y.txt
 
C'est grave docteur ?

bonjour
 
cela n'a pas été inutile  
 
si tu as des clés usb ou autres supports amovibles fais ceci:
 
Ferme toutes tes applications et enregistre le travail en cours.
 
Munis toi de tous tes supports amovibles (clés usb,disque durs externes,etc...)
 

• Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
• tutoriel recherche
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
• Choisi l'option 1 (recherche)
• Laisse travailler l'outil
• Ensuite héberge  le rapport UsbFix.txt qui apparaîtra sur ce site et poste moi le lien qui te sera fourni
• Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Important: Ne poste pas le rapport directement sur ce forum
 
    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
              Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
              Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
     
 
 
 

Merci. Mais je n'utilise jamais de clé USB, je n'ai pas non plus de disques durs externes. Les seuls supports externes que j'utilise sont quelques CD et DVD réinscriptibles (je m'en sers pour faire des sauvegardes régulières).  
 
Est-ce que je fais manip quand même ?

non pas la peine,  
 
=> si toutefois ton ordinateur est succeptible de recevoir un jour une clé usb ou autre tu peux faire un vaccin contre les infections qui se propagent de cette manière:
 

• Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
• Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
• Choisis l'option 3 ( Vaccination )
• Laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaîtra.[/list]

   * Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )
 
    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
 
 
 =>Sinon fais un dernier rapport hijackthis afin que je puisse finaliser cette désinfection:
 

• Télécharges  HijackThis :http://www.trendsecure.com/portal/ [...] nstall.exe sur ton bureau  
• Installes le programme
• lances HijackThis (sous vista clique droit et Exécuter en tant qu'administrateur)  
• Cliques sur "Do a system scan and save a logfile"
• le bloc-notes va s'ouvrir, héberge le rapport sur cijoint.fr et poste le lien fourni dans ta prochaine réponse.

Ci-joint.fr ne veut pas de mon fichier:
 

 
Est-ce que je peux rebaptiser le fichier en .txt ?

oui il faut le mettre au format .txt en le copiant dans le bloc note

http://www.cijoint.fr/cjlink.php?f [...] 6AYwML.txt

parfait! je te poste le final (mises à jour, optimisation et sécurisation) dès que je peux ,en attendant évite toute restauration système dans les dates où ton PC était infecté
Bonne soirée!

voici comme prévu la fin du supplice
 
il reste un peu de travail pour toi:
 
 
Le système d'exploitation n'est pas à jour sur cet ordinateur,sauf empêchement majeur, il serait bien passer au Sp3 , pour cela se rendre sur le site windows update ou télécharger le Sp3 directement ICI
 
Le navigateur Internet explorer n'est pas non plus dans sa dernière version pour y remédier; passer là aussi par Windows update ou bien le télécharger et l'installer directement à partir de cette page
 
tu peux sécuriser davantage ton FireFox en lui ajoutant les modules suivants: ADblock + pour bloquer un maximum de pubs, sources d'infection parfois et WOT pour être prévenu sur les dangers de certains sites.
il est aussi souhaitable d'installer WOT pour IE  
 
Le logiciel Java utilisé n'est pas non plus à jour,il faut désinstaller toutes les anciennes versions y compris les J2SE runtime  par la fonction Ajout/suppression de programmes du panneau de configuration et se rendre ensuite sur ce site pour télécharger et installer la nouvelle version 6 update 20
/!\ attention à ne pas installer de barre d'outils "Yahoo" ou "Google" supplémentaires => pour cela décocher la case  
 
Adobe reader est utilisé sur ce PC,mais la version employée est obsolète ,il faut là aussi désinstaller l'ancienne version 7 par Ajout/suppresssion de programmes du panneau de configuration  puis se rendre sur ce site pour télécharger la version correspondant au système d'exploitation du PC
 
Une fois installé et pour plus de sécurité,il faut désactiver l'interprétation du javascript  comme ceci:
• Lancer Adobe Reader
• Cliquer sur Edition --> Préférences --> JavaScript
• Décocher "Activer Acrobat JavaScript"
• Valider
 
Vérifier que les dernières versions de flash player (plugin et activeX) sont installées sinon désinstaller les anciennes et télécharger les nouvelles :
ici pour l'activeX =>IE et là pour le plugin=> FF
 
Tous ces logiciels sont exploités par les auteurs de malwares ce qui implique que ne pas les tenir à jour représente de grosses failles de sécurité.
 
 
Pour faciliter la gestion des mises à jour: installer "UpdateChecker" qui permet d'être tenu au courant des dernières versions des logiciels sensibles ,de les télécharger en tenant compte que ce sont parfois les versions Anglaises qui sont proposées
 
Enfin, tu utilises "Ad-aware SE" qui n'est plus très éfficace contre les nouvelles infections et qui ne détecte que quelques cookies traceurs, lui préférer largement "malwarebyte antimalware"
_____________________________________________________________________________
 
 

• lance HijackThis
• clique sur "do a system scan only"
• coche les cases devant ces lignes :

 O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe      
 O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe      
 O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect      
 O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE      
 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime      
 O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe      
 O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe      
 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab    => Trend Micro ActiveX
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab    => BitDefender Antivirus
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab    => Panda Software
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/download [...] _en_dl.cab
 
 
 
 

• Ensuite  clique sur Fix Checked
• ferme hijackthis

note: ceci correspond à de l'optimisation ,cela ne désinstalle aucun programme mais empêche qu'ils soient lancés en même temps que Windows au démarrage
seules les lignes en gras doivent être impérativement "fixées".  
les activeX en lignes 016 seront recréés automatiquement si besoin
_____________________________________________________________________________
 
 
pour nettoyer le registre et les fichiers temporaires
 

• Télécharge et installe  ccleaner :  

• Lance ccleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
• Dans le menu nettoyeur , clique sur "Analyse.
• Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
• Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
• Réponds a OUI a la question qui te sera posée.
• Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
• recommence la recherche et la suppression des erreurs jusqu'à ce qu'il ne reste plus rien.
• un  tutoriel pour t'aider :  

• Tu peux conserver ce logiciel et l'utiliser régulièrement.

______________________________________________________________________________
 
il ne sert à rien de garder les outils qui ont servi à la désinfection car ils sont régulièrement mis à jour pour suivre l'évolution des Malwares.
 
note: ZHPFix peut être activé soit à partir de ZHPDiag  en cliquant sur l'icône  
soit à partir du raccourci sur le Bureau si l'icône n'apparait pas.
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.
 

• Lance ZHPFix en fonction de ton système d'exploitation.
• Clique sur l'icône représentant la lettre =>
• une liste des outils va apparaitre coche les cases des outils à désinstaller ou clique sur "Tous" en bas
• clique ensuite sur nettoyer

• copie le rapport généré à la fin et héberge le sur:cijoint.fr

______________________________________________________________________________
 
 
TRES IMPORTANT
 
Pour éviter de re-infecter ton ordinateur, tu vas maintenant supprimer les points de restauration et en créer un nouveau , pour cela:
 
  [list]

• Il faut désactiver et réactiver la restauration système suis ce tutoriel pour t'aider.

• Il faut ensuite créer un point de restauration manuellement, pour t'aider suis celui-là[/list]

______________________________________________________________________________
 
 
L'ordinateur est maintenant débarrassé de tous les malwares ,il faut retenir qu'aucun antivirus ou Antispyware ne le protègera à 100% ,la prudence est de rigueur sur le net ,tu trouveras des information à propos de la sécurité sur internet en lisant ce fichier pdf: http://www.malekal.com/fichiers/pr [...] alware.pdf provenant du site de malekal_morte ,il fait parti d'un projet anti-malware et je t'invite à le diffuser autour de toi.
 
montre moi quand le rapport de zhptool(suppression des outils)
 
Bonne continuation!