Infection Astromenda Search 2014-10-01T15:54:18+00:00
  • Auteur
    Messages
  • wrap12
    Participant
    Nombre d'articles : 15

    Bonjour, j’ai été infecté par la Toolbar Astromenda Search en faisant confiance à l’installateur de pdf split and merge portable de SourceForge ! Je viens vous demander votre aide bien qu’il existe un tuto de désinfection sur votre site (aide recommandée…). Je précise que j’ai dézippé l’application sur ma clef usb (pdfsam-starter.exe) mais je ne l’ai jamais lancée. Merci !

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    hello si tu l’as pas executée elle a pas pu t’installer astromenda , donc ca vient pas de là

    • Désactive ton antivirus le temps du téléchargement et de l’utilisation.
    • Télécharge AdsFix sur ton bureau.
      Note : Enregistrer votre travail avant de continuer !
    • Lance AdsFix
    • Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
    • Inscrit ton pays
    • Clique sur Nettoyer , après l’avoir débloqué dans les options

      Note : Patiente le temps du scan
    • Laisse travailler l’outil même s’il te parait bloqué
    • Si l’outil détecte un proxy que tu ne connais pas clic sur : “Supprimer le proxy
    • Héberge le rapport C:AdsFix_date_heure.txt sur SOSUpload puis donne le lien obtenu.

    Aide:

  • wrap12
    Participant
    Nombre d'articles : 15

    Bonjour, voici le rapport de AdsFix : https://antimalware.top/www/?a=d&i=O59XCfasCv” onclick=”window.open(this.href);return false; – En fait, j’avais au départ : pdfsam-2.2.4-out.exe que j’ai exécuter et qui s’est transformé en pdfsam-2.2.4-out.zip – C’est ce dernier que j’ai dézippé sur ma clef Usb et m’a donné pdfsam.exe que je n’ai jamais lancé. Sans doute que les intrus se trouvaient dans le premier exécutable en .exe

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    re

    • Télécharge MalwareBytes
    • Procède à l’installation de celui çi Décocher “Activer l’essai gratuit de Malwarebytes Anti-Malware Premium”

    • Clic sur Mettre à jour (à droite, au centre)

    • Clic sur Examen (en haut)
    • Sélectionne Examen “Menaces”
    • Clic sur Examiner maintenant

    • A la fin du scan clic sur Tout mettre en quarantaine !
    • Clic sur Copier dans le Presse-papiers
    • Un rapport va s’ouvrir. Copie/Colle son contenue dans ta prochaine réponse.
  • wrap12
    Participant
    Nombre d'articles : 15

    Hello ! le scan MBAM s’est bien passé et j’ai tout mis en quarantaine. Voici le lien du rapport : https://antimalware.top/www/?a=d&i=q4b0mI0iFS” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    re

    ok on fait un diag pour verif’ ^^

    désactive ton antivirus le temps du scan

    Télécharge quickDiag ici : http://www.aht.li/2448447/QuickDiag.exe” onclick=”window.open(this.href);return false;

    lance-le , clique sur “Quick” puis une fois terminé , heberge le rapport sur https://antimalware.top” onclick=”window.open(this.href);return false; et donne le lien obtenu pour aller le consulter

    le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt

  • wrap12
    Participant
    Nombre d'articles : 15

    Bonjour, voici le rapport QD : https://antimalware.top/www/?a=d&i=wcgtUJrumi” onclick=”window.open(this.href);return false; – À bientôt !

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    hello je pense que nous sommes en présence d’un rootkit, vérifions (cette ligne m’y fait penser : S0 – rdujkhhm () -> System32drivershwejbs.sys )

    Télécharge Gmer : http://www.gmer.net/#files” onclick=”window.open(this.href);return false; clique sur « Download EXE » et enregistre-le sur ton bureau

    Important : Désactive toutes tes protections : http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm” onclick=”window.open(this.href);return false;

    Ne pas utiliser l’ordinateur pendant le scan de GMER

    Pour XP => double clique sur gmer.exe
    Pour Vista et 7 => clique droit « executer en tant que…. »

    GMER va lancer un scan automatique

    s’il detecte une activité de rootkit et demande un scan complet , répondre non.

    décoche IAT/EAT, ShowAll et les lecteurs (C: , D:….) , et coche tout le reste

    clique sur Scan

    si une fenêtre indiquant un rootkit apparait clique sur OK.
    Une fois le scan terminé sauvegarde le rapport sur ton bureau sous le nom gmer.log

    ensuite clique sur copy, puis colle-le dans ta réponse.

    Réactive tes protections.

    Note: Si problèmes utiliser GMER en mode sans echec.

  • wrap12
    Participant
    Nombre d'articles : 15

    Re : Gmer utilisé en mode normal -> Ok Je joins le log que j’ai appelé vqrdu.log au lieu de gmer.log
    GMER 2.1.19357 – http://www.gmer.net” onclick=”window.open(this.href);return false;
    Rootkit scan 2014-10-03 16:15:12
    Windows 6.1.7601 Service Pack 1 x64 DeviceHarddisk1DR1 -> DeviceIdeIdeDeviceP4T0L0-6 WDC_WD5000AAKS-00WWPA0 rev.01.03B01 465,76GB
    Running: udrqv412.exe; Driver: C:UsersAlainAppDataLocalTemppwdorpod.sys

    —- User code sections – GMER 2.1 —-

    .text C:Program Files (x86)DatacolorSpyder4ProUtilitySpyderUtility.exe[3536] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000076561465 2 bytes [56, 76]
    .text C:Program Files (x86)DatacolorSpyder4ProUtilitySpyderUtility.exe[3536] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 00000000765614bb 2 bytes [56, 76]
    .text … * 2
    .text C:Program Files (x86)EverythingEverything.exe[3908] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000076561465 2 bytes [56, 76]
    .text C:Program Files (x86)EverythingEverything.exe[3908] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 00000000765614bb 2 bytes [56, 76]
    .text … * 2
    .text C:Program Files (x86)NVIDIA CorporationNVIDIA Update Coredaemonu.exe[428] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000076561465 2 bytes [56, 76]
    .text C:Program Files (x86)NVIDIA CorporationNVIDIA Update Coredaemonu.exe[428] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 00000000765614bb 2 bytes [56, 76]
    .text … * 2

    —- EOF – GMER 2.1 —-
    À plus.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    refais comme ceci stp : décoche les lecteurs (C: , D:….) , et coche tout le reste

  • wrap12
    Participant
    Nombre d'articles : 15

    Hello ! j’ai fait comme demandé, mais interruption de Gmer avec affichage de cette fenêtre : https://antimalware.top/www/?a=d&i=6r4KJE8mgD” onclick=”window.open(this.href);return false; – Voyant celà, je relance l’application en MSE avec les droits d’administrateur en cliquant sur “Quick”, mais je n’avais pas les options de recherche car c’était la mini-fenêtre de Gmer; ça repart, puis tout d’un coup le processus est killé ! Voyant celà, je repasse en mode normal, je renomme gmer.exe en iexplore.exe et je relance. Là, c’est bon et je te joins le rapport ici :
    GMER 2.1.19357 – http://www.gmer.net” onclick=”window.open(this.href);return false;
    Rootkit scan 2014-10-04 01:14:32
    Windows 6.1.7601 Service Pack 1 x64 DeviceHarddisk0DR0 -> DeviceIdeIdeDeviceP4T0L0-6 WDC_WD5000AAKS-00WWPA0 rev.01.03B01 465,76GB
    Running: iexplore.exe; Driver: C:UsersAlainAppDataLocalTemppwdorpod.sys

    —- User code sections – GMER 2.1 —-

    .text C:Program Files (x86)DatacolorSpyder4ProUtilitySpyderUtility.exe[3940] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000075bf1465 2 bytes [BF, 75]
    .text C:Program Files (x86)DatacolorSpyder4ProUtilitySpyderUtility.exe[3940] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 0000000075bf14bb 2 bytes [BF, 75]
    .text … * 2
    .text C:Program Files (x86)EverythingEverything.exe[4044] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000075bf1465 2 bytes [BF, 75]
    .text C:Program Files (x86)EverythingEverything.exe[4044] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 0000000075bf14bb 2 bytes [BF, 75]
    .text … * 2
    ? C:Windowssystem32mssprxy.dll [4044] entry point in “.rdata” section 00000000740771e6
    .text C:Program Files (x86)NVIDIA CorporationNVIDIA Update Coredaemonu.exe[1744] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000075bf1465 2 bytes [BF, 75]
    .text C:Program Files (x86)NVIDIA CorporationNVIDIA Update Coredaemonu.exe[1744] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 0000000075bf14bb 2 bytes [BF, 75]
    .text … * 2

    —- EOF – GMER 2.1 —-
    Merci et à plus.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    bonjour y’a un souci le rapport devrait être beaucoup plus long 🙁

    3rd party est bien coché ? ( heberge plutot les rapports sur https://antimalware.top” onclick=”window.open(this.href);return false; stp )

  • wrap12
    Participant
    Nombre d'articles : 15

    Oups ! j’ai oublié de cocher 3rd party donc c’est reparti -pour un tour !

  • wrap12
    Participant
    Nombre d'articles : 15

    Ci-joint la bonne exploration avec tout de coché : https://antimalware.top/www/?a=d&i=VRJmWDm3fj” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    re ok mmmm… apparemment c’est pas le cas…

    regarde si tu as ce fichier present ou pas

    C:WindowsSystem32drivershwejbs.sys

  • wrap12
    Participant
    Nombre d'articles : 15

    Bon, j’ai bien regardé, mais je n’ai pas ce fichier hwejbs.sys dans le répertoire drivers de C:WindowsSystem32 – J’ai aussi cherché ce fichier dans le rapport que je t’ai fourni ce matin : [3rd party scan 2014-10-04 10:42:20] et il ne s’y trouve pas non plus… Me serais-je trompé une fois encore en réalisant le scan Gmer ? :shocked:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    si tu affiches les fichiers cachés même chose ?

    non je t’ai fait passer gMer pour voir si le fichier ne créeait pas de processus caché mais ce n’est pas dans le rapport gMer que je l’ai trouvé ^^

  • wrap12
    Participant
    Nombre d'articles : 15

    Oui, j’ai bien : “Afficher les fichiers et dossiers et lecteurs cachés” de coché. Ah, si ce n’est pas dans le rapport gmer, je comprends mieux ! 😀

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    hello ^^

    décoche “Masquer les fichiers protégés du système”

  • wrap12
    Participant
    Nombre d'articles : 15

    Ok je viens de décocher “Masquer les fichiers système protégés”

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    ok bonjour toujours pas ce fameux fichier ?

  • wrap12
    Participant
    Nombre d'articles : 15

    Hello ! j’ai fait de nouveau la recherche du fichier hwejbs.sys avec “cacher fichiers système” décoché et avec les autres options décochées aussi : rien de rien, je n’ai pas ce fichier… À plus…

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    bien dans ce cas on va pouvoir supprimer ce service qui ne sert à rien alors

    refais un QuickDiag en mode “extended” stp

  • wrap12
    Participant
    Nombre d'articles : 15

    Voilà j’ai fait QD en mode extended : https://antimalware.top/www/?a=d&i=kisCOE8FQJ” onclick=”window.open(this.href);return false; – Alors là, j’en reste pantois car il a trouvé ce fameux fichier à l’endroit où tu me le demandais (-> mais c’est un service…); donc, peut-être que le fichier n’y est plus, mais qu’il reste ce salop de service. C’est ce que tu me disais dans le post d’avant. Bon, il y a des programmes avec des noms avec des lettres majuscules, c’est moi qui met les archives ici avant de les décompresser… À plus.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.
    Télécharge http://oldtimer.geekstogo.com/OTM.exe” onclick=”window.open(this.href);return false; OTM (OldTimer) sur ton Bureau :
    Double-clique sur OTM.exe afin de le lancer. (clic droit “executer en tant qu’administrateur” pour Vista/7/8 )

    Copie (Ctrl+C) le texte suivant ci-dessous :

    :services
    dujkhhm

    :reg
    [HKLMSoftwareWOW6432NodeMicrosoftWindowsCurrentVersionPoliciesExplorer]
    “NoActiveDesktop”=DWORD:0
    “NoActiveDesktopChanges”=DWORD:0
    [-HKLMSOFTWAREMicrosoftCode Store DatabaseDistribution Units{8AD9C840-044E-11D1-B3E9-00805F499D93}]
    [-HKLMSOFTWAREMicrosoftCode Store DatabaseDistribution Units{CAFEEFAC-0017-0000-0017-ABCDEFFEDCBA}]
    [-HKLMSOFTWAREMicrosoftCode Store DatabaseDistribution Units{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
    [-HKLMSoftwareBrowserChoice]
    [-HKLMSoftware{6791A2F3-FC80-475C-A002-C014AF797E9C}]
    [-HKUS-1-5-21-3089684254-4113135128-3529944320-1000SoftwareYahooPartnerToolbar]

    :files
    D:sosordi.exe
    E:install.*
    C:WindowsInstaller2f6e006.msi
    C:UsersAlainAppDataLocalwMwSauBj8UhyFIq
    C:UsersAll UsersFEA3F5DE-0F10-454D-B6C0-55E35B170A9D
    C:Program Files (x86)FLV-Media-Player
    C:Program Files (x86)FLVMP
    C:WindowsSystem32TasksCreateChoiceProcessTask
    C:UsersAlainAppDataLocalTemp*.sys

    :commands
    [emptytemp]

    Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
    Clique maintenant sur le bouton MoveIt!
    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    Poste le rapport situé dans ce dossier : C:_OTMMovedFiles

    *Le nom du rapport correspond au moment de sa création : date_heure.log

  • wrap12
    Participant
    Nombre d'articles : 15

    Suite : tout s’est bien passé, ci-joint le rapport Old Timer : https://antimalware.top/www/?a=d&i=sv8li3oTfe” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    re

    des soucis persistent ?

  • wrap12
    Participant
    Nombre d'articles : 15

    Suite : après, j’ai donc passé MBAM en mode normal qui a trouvé : https://antimalware.top/www/?a=d&i=kw46pcOsKe” onclick=”window.open(this.href);return false; mis en quarantaine. Ensuite, j’ai passé Avira Antivirus qui a trouvé un fichier suspect : https://antimalware.top/www/?a=d&i=nXthWe01QK” onclick=”window.open(this.href);return false;
    et un fichier détecté par la base virale : https://antimalware.top/www/?a=d&i=75kw003aF0” onclick=”window.open(this.href);return false; – J’ai aussi essayé de lancer FLV Media Player et, bien sur, j’ai eu çà : https://antimalware.top/www/?a=d&i=eN7T0yP5rw” onclick=”window.open(this.href);return false; car le msi était là : https://antimalware.top/www/?a=d&i=mXawoApl8x” onclick=”window.open(this.href);return false; – J’ai donc plusieurs questions : faut-il repasser des outils sur C: pour être sûr qu’il ne reste rien ? Je suis en dual-boot avec windows XP sur D:; est-ce que cette partition a pu être contaminée ? Est-ce que l’application FLV Media Player doit être désinstallée ? Que faire de OTMMoved Files ? Est-ce qu’il ne faudrait pas aussi tester ma clef USB ? Désolé, ça fait pas mal de choses… :P:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    FLV Media player est un logiciel infectieux , il faut utiliser VLC pour lire les FLV

  • wrap12
    Participant
    Nombre d'articles : 15

    Ok merci de l’information et de votre aide !

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8323

    re

    on finit avec le menage

    • Télécharge SFTGC.exe (de Pierre13) sur ton Bureau et pas ailleurs !.
    • Lance SFTGC, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clique sur GO

      Note : A la fin un rapport va s’ouvrir

    • Une fois le scan terminé rends toi sur le bureau, le fichier SFTGC.txt à été créé.
    • Héberge le rapport SFTGC.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    ===============================

    • Télécharge Delfix sur ton Bureau.
    • Lance Delfix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

    • Coche les cases suivantes :
      • Réactiver l’UAC
      • Supprimer les outils de désinfection
      • Effectuer une sauvegarde du registre
      • Purger la restauration système
      • Réinitialisation des paramètres système

    ==========================

    Sécurisation du PC des logiciels potentiellement indésirables , toolbars , etc…

    Lorsqu’on est sous Windows et qu’on adore installer tout un tas de softs étranges, il faut savoir rester vigilant. En effet, certains programmes d’install proposent durant l’installation des toolbars et autres adware qui seront difficiles par la suite à retirer de votre système.

    En général, on fait attention, et on décoche les cases qui vont bien, mais il suffit d’une fois, d’un petit coup de barre et on laisse passer la toolbar fatale.

    Mais pourquoi se prendre la tête alors qu’un petit soft peut faire le travail pour vous ?

    Télécharge : http://unchecky.com/files/unchecky_setup.exe” onclick=”window.open(this.href);return false;, un service qui tourne en tâche de fond sous Windows, qui détectera automatiquement les logiciels additionnels dans les programmes d’installation et qui décochera les cases qu’il faut pour éviter de se faire polluer.


    ==============================================

    si ce n’est fait met à jour Flash player (pour chrome il est deja intégré ) :

    No Internet Explorer :
    http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_15_plugin.exe” onclick=”window.open(this.href);return false;

    Internet Explorer :
    http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_15_active_x.exe” onclick=”window.open(this.href);return false;

    =============================================

    Adobe reader étant devenu trop peu fiable , je te conseille de le desinstaller , et pour lire les pdf , je te suggère d’utiliser plutôt SumatraPDF :

    http://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader-fr.html” onclick=”window.open(this.href);return false;

    pense à l’installation , dans les options , à cocher la case qui correspond à « utiliser SumatraPDF comme lecteur par defaut » et installer les plugins pour les navigateurs.
    [fin2desinf:1e1f63mn][/fin2desinf:1e1f63mn]

Le sujet ‘Infection Astromenda Search’ est fermé à de nouvelles réponses.