PC infecté par spyware tenace

Résolu/Fermé
marcdgt - 3 mars 2011 à 09:15
 Utilisateur anonyme - 7 mars 2011 à 06:10
Bonjour,

je me bats depuis hier avec un spyware ou rogue (enfin un truc qui bloque pon pc) et je n'arrive à rien. j'ai le même phénomène que certains :
écran bleu avec message de Warning, ouverture de fenètre "system tool" faisant croire à uin scan, etc...
j'utilise windows xp, et ce truc bloque toutes les applis. je n'arrive meme pas à lancer un scan avec malwarebytes, pourtant déja installé sur mon ordi.
connexion internet bloquée également
impossible d'accéder à l'invite de commande
pouvez-vous m'aider ? d'avance merci
A voir également:

43 réponses

Tigzy Messages postés 7496 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 580
4 mars 2011 à 10:22
Re:

A mon avis ça c'est malicieux:

[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{EB9BD608-DC98-4B35-A5CB-BCDEC6213BA9} : NameServer (172.16.89.25,172.16.128.1) -> NOT REMOVED, USE DNSFIX

Tu devrais relancer RogueKiller en mode 5 (DNSFIX)
0
re , tigzy :

il n'est plus indiqué à la fin...

=========================

marcdgt :

relance List_Kill'em , et fais option tools puis reinitialiser TCP/IP puis poste le rapport

===========================

et ensuite fais l option suppression et poste le rapport
G3?-?@¢??@?......Concepteur de List_Kill'em...
0
Tigzy Messages postés 7496 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 580
4 mars 2011 à 15:15
Normal, les options ProxyFix et Hostsfix ne vérifient pas les DNS (logique) ;)
0
Utilisateur anonyme
4 mars 2011 à 15:39
ben pourquoi ? alors là on croit que les autres soucis sont resolus....tu devrais changer ca , ca porte enormement à confusion
0
Tigzy Messages postés 7496 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 580
4 mars 2011 à 15:52
Ba en même temps, l'option trucFix fait juste un fix, c'est son utilité. Je vois pas ce que tu voudrais en plus...
0
Tigzy Messages postés 7496 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 580
4 mars 2011 à 15:54
Il faut pas que les 3 dernières options servent de Diagnostique! Seules les 2 première vérifient tout.
0
Utilisateur anonyme
4 mars 2011 à 15:59
compris
0
merci pour toute vos infos...
je m'occupe de ça demain matin et je vous poste les rapports...
0
Utilisateur anonyme
4 mars 2011 à 19:28
ok pas de soucis ;)
0
bonjour,
j'ai lancé list_kill'em - outils et option réinitialiser tcp/ip et voici le message qui s'est affiché :

windows ne trouve pas 'c:\dns.txt' vérifiez que vous avez entré le nom correctement et essayez à nouveau

ça referme list_kill'em ensuite et ça ne génère pas de rapport

dois-je continuer en lançant l'option 'suppression' ?

merci d'avance
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
5 mars 2011 à 09:13
tu as desactivé toutes tes protections ?
0
ah non... je recommence....
0
avast et pare-feu windows supprimé : ça fait pareil !

qd je lance l'option réinitialiser tcp/ip j'ai le message :

windows ne trouve pas 'c:\dns.txt' vérifiez que vous avez entré le nom correctement et essayez à nouveau
0
refais le mode rechercher de roguekiller et si il y un rapport sur le bureau lui appartenant tu le vires avant
G3?-?@¢??@?......Concepteur de List_Kill'em...
0
voici le rapport suite au scan de roguekiller :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijk2sKJG7.txt
0
Utilisateur anonyme
5 mars 2011 à 17:38
relance-le , option dnsfix
0
option dnsfix, voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijV1eVOLR.txt
0
Utilisateur anonyme
5 mars 2011 à 18:00
Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"


▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
Fichier OTL

http://www.cijoint.fr/cjlink.php?file=cj201103/cijYi1WuS7.txt


Fichier Extras :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijKpF4DXa.txt
0
Utilisateur anonyme
5 mars 2011 à 18:46
tu connais ca ?

IE - HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 172.16.89.*;172.16.132.*;172.16.128.*;*.LFQQ.aviation;noirh-hr;noirh-hr.aviation;noirh-hr.cedre.aviation
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = http://netweb.crna-n.aviation/proxy.pac
0
oui, c'est le proxy du boulot. car l'ordi en question est un portable que j'utilise au boulot (aviation civile) et les connexions internet au boulot se font via ce proxy
0
Utilisateur anonyme
5 mars 2011 à 19:04
bon ben tigzy tu t'es planté :)

=================================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
Bonjour Service

:OTL
O4 - HKLM\..\Run: [MCM] File not found
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Main present
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe (Reg Error: Key error.) => bobTV Adult Site


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"Dell QuickSet"=-
"QuickTime Task"=-
"SigmatelSysTrayApp"=-
"SunJavaUpdateSched"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"swg"=-

:Files
C:\Documents and Settings\All Users\Application Data\jJpOgFg06511
C:\WINDOWS\dsez9283.dat

:commands
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
0
http://www.cijoint.fr/cjlink.php?file=cj201103/cijFVVii7u.txt

j'ai galéré un peu pour le coller dans "cijoint"....
0
Utilisateur anonyme
5 mars 2011 à 19:52
mets malwarebytes à jour puis fais un scan complet ;)
0
apres plus de 3 heures de scan, voici le fichier rapport de mbam :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijdMRYuJV.txt

je détruit tout ?
0
Utilisateur anonyme
6 mars 2011 à 03:16
re

t'as bien supprimé les elements trouvés par malwarebytes à la fin du scan ?
0
voici le dernier compte-rendu après destruction des fichiers trouvés après le scan de malwarebytes :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijCfJDz5y.txt
0
Utilisateur anonyme
6 mars 2011 à 09:05
bien

tu nous fait un petit topo ?
0
A priori, ça a l'air clean....

toutes les applis fonctionnent, les connexions internet aussi, et j'ai plus de messages d'alerte ou autre truc sournois apparemment !

mille mercis pour ton génie et ton efficacité !
0