virus win32: obfuscated Résolu

Question

bonjour, j'ai un virus sur mon ordinateur ke avast ma detecté, il se nomme Win32:Obfuscated-BMP[Trj]... je suis en train de faire une analyse avec AVG Anti-Spyware et jai ccleaner sur mon ordi ... voila donc je ne suis pa tré doué en informatik é ca seré genti de maider pr enlevé ce virus merci davance

moK´s@ · Answer

salut sarah,

post le rapport de avg quand il aura fini, et supprime bien tout ce qu´il aura trouvé...


puis post ca aussi :

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

@+

maitre19100 · Answer

salut 
est ce que avast ta demander si tu voulai supprimer le virus ou le mettre en quarantaine?

moK´s@ · Answer

re,

avec hijack this coche ceci :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe

quitte tes applications et navigateur et fix laes lignes ci dessus

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe



clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg


te sert tu de cette barre de recherche car elle est infecté par un spyware a mon avis ?

Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll


puis :

telecharge
Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
fais le marcher

puis 

Fais ceci:
tapes ceci dans Démarrer/Exécuter:
%SystemRoot%\System32\restore\rstrui.exe
Paramètres de restauration/Désactivé la restauration sur tous les lecteurs.
Reboot.
Ensuite refais l'inverse, réactive. 

comment faire :

¤Désactive ta restauration système:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique


Télécharge LopxpMH sur ton Bureau.

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir. 

@+

afideg · Answer

Hello mok' s@

C'est beau

Commencer par ceci :
(sponsor d'msn plus en suivant les instructions de ce lien
https://1map.com/fr/astwindscom

Fais démarrer>>panneau de configuration>>ajout/suppr de programme et clique une fois sur celui là: MessengerPlus! 3 

Clique sur le bouton "Modifier/Supprimer" 
Sélectionne la 1ère option : "Désinstaller le sponsor uniquement". 
Clique ensuite sur "Désinstaller" 

Comme ça tu peux toujours utiliser ton programme mais sans être pollué de tout un tas de cochonneries.
Il n'y aura plus ainsi à s'occuper de ADVERTS.
Si tu supprimes ADVERTS trop vite, on ne sait plus réussir facilement la manip .


Pour info ( et confirmation de ta part SVP ).
Merci
Al.

moK´s@ · Answer

salut afideg,

oui c´est beau comme tu dis...

kiitos ;-)

sarah :

¤
pour messenger live le 1 et 3:

Messenger plus est un add-on non officiel à "Messenger MSN", gratuit grâce à la sponsorisation. Malheureusement ils ont choisi comme sponsor, ni plus ni moins, LOP.COM !!!

On le voit à un bouton installé dans la barre et qui porte un nom quelconque, généré aléatoirement, à la volée, de manière à empêcher les anti-spywares de le détecter par la méthode des signatures.

Lop.com est une des pire cochonneries qui s'installent sournoisement sur nos machines, furtif et très difficile à retirer. Son installation se fait en utilisant des noms et des clés de registres générées aléatoirement. Il s'installe, du point de vue technique, partiellement sous la forme d'un Bho hostile dont le nom et la clé de registre sont générés aléatoirement ce qui fait des billions (milliers de millions) de combinaisons possibles. Impossible d'en faire une liste ce qui rend le travail des anti-spywares basés sur des scanners et des listes de signatures, totalement impossible.

Pour éradiquer Messenger Plus, il suffit de passer par le classique panneau de configuration de Windows et, dans ajout/suppression de programmes, il suffit de supprimer (désinstaller)

* Messenger Plus
* Messenger Plus Random Quote Addon


Mais ceci ne supprime pas lop.com.

Il existe un outil pour retirer lop.com, qui traîne encore sur l'ordinateur après éradication de Messenger Plus:

Télécharge NoLop sur ton bureau
---> http://www.spywareedge.net

Double-clic sur NoLop.exe puis clic sur Search and Destroy.
Lorsque l'analyse est finie et si une infection est trouvée, un message apparaîtra pour redémarrer, clic sur OK.
Clic sur REBOOT, un message apparaîtra au redémarrage.
Copie et colle ici le contenu du fichier NoLop.log que tu peux trouver à la racine de ton disque dur principal C:\NoLop.log


Vous pouvez, ensuite, réinstaller "Messenger Plus" - mais en DECOCHANT la case "sponsor" puisque vous avez le choix.

¤
puis

¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !

Supprime ceci: 

C:\Program Files\adverts

¤
c´est quoi ce programme?

Else plus 

¤
puis avec hijack thisa coche ceci :

O3 - Toolbar: Acer eDataSecurity Management - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\system32\ToolBand.dll 

quitte tes applications et navigateur et fix la ligne ci dessus

puis avec ot move it supprime ceci :

C:\WINDOWS\system32\ToolBand.dll 

¤
puis :

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

post le rapport otmove it et  navilog option 1

@+

moK´s@ · Answer

Télécharge NoLop sur ton bureau
---> http://www.spywareedge.net

Double-clic sur NoLop.exe puis clic sur Search and Destroy.
Lorsque l'analyse est finie et si une infection est trouvée, un message apparaîtra pour redémarrer, clic sur OK.
Clic sur REBOOT, un message apparaîtra au redémarrage.
Copie et colle ici le contenu du fichier NoLop.log que tu peux trouver à la racine de ton disque dur principal C:\NoLop.log

moK´s@ · Answer

re,

va sur ce site et telecharge le dossier zip "mscomctl.ocx"

tu click sur "HERE"pour commencer le telechargement

en suite tu le dezip sur ton bureau et puis tu l´amène dans C:\WINDOWS\SYSTEM32

puis tu click sur demarrer>executer et dans la boite de dialogue tu tape ceci :

REGSVR32 MSCOMCTL.OCX

puis ok

afideg · Answer

Le lien post # 7 est < https://1map.com/fr/astwindscom  >

afideg · Answer

Mok' s@

Peut-être avec ça ?
- RegDLLOCX < http://blq.free.fr/Win/RegDLLOCX.zip > installé, téléchargez le. 
Ce programme ajoute au menu contextuel des fichiers DLL et OCX la possibilité d'Enregistrer et de Dé-enregistrer une référence dans la base de registre Windows. 
Il vous suffit de double cliquer sur le fichier VBS de l'archive pour ajouter ces fonctionnalités à votre Windows. 

Al.
( PS: Jamais utilisé )  ;)

moK´s@ · Answer

salut sarah et afideg

bon si je comprends bien quand tu as eu le message "loadlibrary (MSCOMCTL) a échoué-le module spécifié é introuvable. " tu n´avais pas encore mis le fichier mscomctl.ocx" dans le system 32?

sinon, si il y etait lorsque tu as fais ca :  puis tu click sur demarrer>executer et dans la boite de dialogue tu tape ceci :

REGSVR32 MSCOMCTL.OCX 

Ps : as tu laissé un espace entre REGSVR32 et MSCOMCTL.OCX??

alors oui si il y etait, essaie le logiciel que nous propose afideg...

- RegDLLOCX < http://blq.free.fr/Win/RegDLLOCX.zip > installé, téléchargez le.
Ce programme ajoute au menu contextuel des fichiers DLL et OCX la possibilité d'Enregistrer et de Dé-enregistrer une référence dans la base de registre Windows.
Il vous suffit de double cliquer sur le fichier VBS de l'archive pour ajouter ces fonctionnalités à votre Windows. 

dis nous quoi

@+

moK´s@ · Answer

sarah, lis ce qui suit et fais comme indiqué : Ce type d'erreur est principalement lié à une différence de version entre le fichier Windows MSCOMCTL.OCX présent dans votre système et celle attendue et utilisée par le logiciel. La version minimale nécessaire est 6.0.88.62 (~500Ko). Pour mettre à jour votre Windows, procédez aux étapes suivantes : 1. Recherchez dans le répertoire Windows le fichier MSCOMCTL.OCX 2. Avec le click droit de la souris, affichez son menu contextuel et sélectionnez Propriétés. Le second onglet de la fenêtre qui s'affiche vous indique la version. En cas d'inexistence du fichier ou de version inférieure, déplacez le fichier dans un autre répertoire, par exemple sous C:\ et passez à l'étape suivante. Attention ne supprimez pas ce fichier, il sera nécessaire en cas d'échec de la procédure. En cas de version identique, effectuez l'étape 3 et réalisez un enregistrement dans la base de registre, comme indiqué dans l'étape 7. 3. Si vous n'avez pas le programme RegDLLOCX < http://blq.free.fr/Win/RegDLLOCX.zip > installé, téléchargez le. Ce programme ajoute au menu contextuel des fichiers DLL et OCX la possibilité d'Enregistrer et de Dé-enregistrer une référence dans la base de registre Windows. Il vous suffit de double cliquer sur le fichier VBS de l'archive pour ajouter ces fonctionnalités à votre Windows. 4. Sélectionnez le fichier MSCOMCTL.OCX déplacé et avec le click droit de la souris, choisissez l'item Dé-enregistrer du menu contextuel. 5. Téléchargez et décompressez la version 6.0.88.62 : MSCOMCTL.ZIP (~500Ko)< http://blq.free.fr/Win/MSCOMCTL.zip > .Copiez le fichier MSCOMCTL.OCX téléchargé dans le répertoire d'origine de l'ancien fichier, par exemple C:\WINNT\System32\ avec Windows 2000. 6. Sélectionnez le fichier nouvellement copié et avec le click droit de la souris, choisissez l'item Enregistrer du menu contextuel. Vous pouvez à nouveau lancez le logiciel. En cas de problème, effectuez la même procédure d'enregistrement et de dé-enregistrement mais avec le fichier d'origine. @+

moK´s@ · Answer

cherche le fichier dans le system32

cette nanip va nous aider a obtenir  La version minimale nécessaire " 6.0.88.62 (~500Ko). "

tu comprends le reste?

@+

tiego94 · Answer

bonjour moi ausi je crois que je suis dans le meme cas avast m'a détécté un cheval de troie a plusieurs reprises dans la journée j'ai donc decidée de faire une analyses des tout mon disque dur et avast a trouvé 23 fichiers infécté qui se nommait tous win32 donc je rois que je suis dans le meme cas de figure que sarahh ... silvouplet aider moi en me disant que dos je faire en premier lieu ???

afideg · Answer

Bonsoir Mok' s@ Peut-être tenter ceci pour Lop : Télécharge Lopxp sur le Bureau : < http://cjoint.com/data/hlrdAgpMrK_Lopxp_Setup.zip > pour avoir cette page < http://img54.imageshack.us/img54/6444/screenshot004jx2.png > Il faut dézipper le .zip ; on obtient ceci : < http://img112.imageshack.us/img112/5174/screenshot008jr9.png > Pour obtenir le raccourci Lopxp_Setup , il faut parfois faire double-clic sur la deuxième icône puis [annuler]. Choisir l’option 1 (Rechercher/Générer un rapport) ==> et le poster. Choisir l’option 2 ( Suppression P2P) ==> et poster le rapport. Bonne chance Al. EDIT: Il y a quelque chose de bizarre : - Le log HJT post#3 donne cette ligne O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe - Post#4 --avec HijackThis coche ceci et fixe : O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe ---avec OTMoveIt supprimer C:\DOCUME~1\VINCEN~1\APPLIC~1\ELSEPL~1\AXISNEW.exe ==> non trouvé! -Post#5 LopXP-MH2 trouve encore --C:\Documents and Settings\Vincent Sarah\Application Data\Else plus ---C:\Program Files\Else plus ----[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow] "netbios-wait.com"=- "www.netbios-wait.com"=- "mysearchnow.com"=- "www.mysearchnow.com"=- -----Je passe outre de MessengerPlus! 3 ( et son fou ADVERTS ) ==> est-ce que ça a été corrigé ?

moK´s@ · Answer

salut afideg,

on a deja passé lopxp, ce que j´essayais de lui faire passer c´etait "no lop" apres la désinstallation de messenger plus.

par contre navilog n´as pas eté passé...

il y a presence de winantivirus pro 2007 alors avec navilog...

kiitos ;-)

@+

afideg · Answer

Re,

Non, le lopxp n'est pas le même outil que LopXP-MH2
Pour Navilog1, d'accord ( je savais qui'l avait été demandé) je ne savais pas qu'il n'avait pas été réalisé.

afideg · Answer

(suite) Télécharger sur le Bureau. VundoFix < http://www.atribune.org/ccount/click.php?id=4 > = Double-clic VundoFix.exe. = Clic OK =Attendre le redemarrage de Vundofix =Clic Scan for Vundo = le scan est assez long (1à2h) , à la fin =Clic Remove Vundo = Puis yes = Le Bureau disparaît un moment lors de la suppression des fichiers. =Message shutdown =clic oui =Redémarrage auto Note : il peut y avoir plusieurs redémarrages =copier le rapport qui est dans C:\vundofix.txt Le poster sur ce forum --------- Télécharger sur le bureau VirtumondoBegone < http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe > =Double clic sur VirtumundoBeGone.exe =clic Continue ==> clic Start =clic Oui =A la fin si Vundo est présent , le PC s’éteint et redémarre Si Ecran bleu et message : Erreur fatale .. pas de problème =Poster le rapport VBG.TXT qui est sur le bureau Bonne chance Al. ( je quitte )hyvää iltaa

moK´s@ · Answer

sarah :

a faire dans l´ordre :

1

telecharge 

Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm

2

regarde ceci et suie toute la procedure pour supprimer winantivirus pro 2007

https://www.pcparadise.fr


3
Déconnecte toi d'Internet et ferme tout les programmes en cours.

 Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)

 Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider


Recherche et supprime ces dossiers:

Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

S'ils sont présents, supprime: 

C:\Documents and Settings\Vincent Sarah\Application Data\Else plus 
C:\Program Files\Else plus
C:\Documents and Settings\All Users\Application Data\Messenger Plus! 
C:\Program Files\Messenger Plus! Live 
C:\Program Files\MessengerPlus! 3 
C:\Program Files\Adverts

4
fais marcher clean up 4o.

5
redemarre en mode normal

ouvre ton bloc note et copie l´integralité du texte ci dessous:

________________________

REGEDIT4

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
"netbios-wait.com"=-
"www.netbios-wait.com"=-
"mysearchnow.com"=-
"www.mysearchnow.com"=-

_________________________


enrregistre le doc sous le nom sarah.reg

une fois le doc : sarah.reg cré double click dessus et accepte la fusion avec le registre.


et 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

et repost un log hijackthis , 

@+

afideg · Answer

Hic;
Je crois que ceci ne passe pas :

REGEDIT4 
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow 
"netbios-wait.com"=- 
"www.netbios-wait.com"=- 
"mysearchnow.com"=- 
"www.mysearchnow.com"=- 

Et qu'il faut écrire ainsi :

REGEDIT4 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow 
"netbios-wait.com"=- 
"www.netbios-wait.com"=- 
"mysearchnow.com"=- 
"www.mysearchnow.com"=- 

kiitos

afideg · Answer

Re,

Avais-tu créé un point de restauration ?
Si oui, restaure ton système à une date où ton PC allait bien . 
Ou bien "Si votre système plante, appuyez sur [F8] au démarrage et sélectionnez Dernière bonne configuration. La configuration fonctionnelle la plus récente sera restaurée."

Al.

afideg · Answer

Bonsoir SARAH,

CIT. « je n'ai suivi que tes instructions.... » 

C'est parfois bon !

Que cela t'apprenne à ne pas rejeter dédaigneusement d'un revers de la main ce que ceux qui essaient de t'aider te proposent. Questionne au moins ton interlocuteur "attitré" avant de "rejeter" autrui .
C'est ton intérêt puisque c'est ton PC qui est foireux !



Salut Mok' s@
hyvää iltaa & kiitos
Al.

moe · Answer

Bonsoir SARAH,

Ton PC ne connaissais pas Cleanup et bien je crois que les présentations sont faites...
Avec son doux bruit délicat de chasse d'eau il a emporté avec lui ton thème XP, ainsi que d'autres bricoles, comme par exemple ntosknl.exe sans qui le pc ne peut pas redemarrer.
Ca te rappelle rien ?
Ah mais non, c'est vrai lol, c'est le pc qui est foireux et c'est bien fait pour toi...
Même si ca fait plus d'un ans que Cleanup est connu pour gicler le thême XP entre autres malgrès les nouvelles versions qui se sont succédées...
Ah oui, au cas ou j'ai pris la peine de faire un joli shot si il y a quelqu'un qui doute  encore...
http://cjoint.com/data/hBaQJoYD3R_cleanup.JPG
Vires Cleanup Sarah....

Enfin bref, apparement je vois que tu as pu t'en sortir pour ntosknl.exe en rechargeant la dernière bonne configuration, tant mieux c'est déjà une bonne chose.
Quant au thème il va falloir le replacer dans sont dossier d'origine après l'avoir retéléchargé ce sera le plus facile pour toi.
Tu trouveras le fichier luna.msstyles qui correspond au theme XP ici.
Enregistre le sur ton bureau.
Ensuite, rends toi dans le dossier C:\WINDOWS\Resources\Themes\Luna et copie et colle ou fait glisser dans le dossier Luna le fichier téléchargé.
Puis redemarres ton pc.
Si le thème ne s'est pas remis automatiquement après redemarrage, fais un clic droit dans un endroit vide sur ton bureau et dans l'onglet "Themes" choisis 'Windows XP', puis valides.

Normallement la restauration système aurait du empêcher ces suppressions ou du moins immédiatement les remplacer dans la seconde, elle était désactivé au moment du nettoyage ?
Vérifie si elle est activé actuellement, clic droit sur le Poste de travail > propriétés > "onglet Restauration du système"
La case "Désactiver la restauration système" doit être décochée.

Voilà... en espérant que tu repasseras par ici...

a+

afideg · Answer

Bonsoir moe,

Accepterais-tu de m'éclairer là-bas SVP.
keylogger detecte par kaspersky

Je m'interroge sur ceci dans ComboFix post # 23 :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] 
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7738161f-f6d8-11db-8766-f2ced3b7a1f0}] 
Auto\command- tel.xls.exe 
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe    ==> lire post # 41  et suivants ==> fix.reg

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bebaf7b2-0225-11db-84d5-806d6172696f}] 
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 


Merci d'avance
Respectueusement
Albert

moe · Answer

Salut Sarah

Excellent pour le bureau, c'est déjà une bonne chose. :-)

Pour Cleanup, le mieux aurait été de passer par ajout\suppression de programmes, mais bon pour l'instant c'est pas le plus urgent, on verra çà à la fin, le principal c'est que tu ne l'utilises plus.

Si tu veux bien, on va faire un point général pour voir ce que les différentes manips que tu as faites jusqu'à présent ont données.

1ère étape: reposte un rapport hijackthis:

Lance Hijackthis et clic sur le bouton "Faire un scan et sauvegarder le log"
Copie et colle tout le contenu du rapport dans ton prochain message.
Ca permettra d'avoir un petit topo de différents points clés du registre, qu'utilisent souvent la majorité des virus/malwares pour se lancer.

2ème étape:

moK´s@ et Afideg, t'avaient détecté LOP, donc après les différentes manips que tu as faite pour le virer ont va vérifier qu'il n'y en a plus de traces.
Tu as gardé LopxpMH2 ?
Si oui, tu dois toujours avoir le dossier lopxpMH2 sur ton bureau, à l'intérieur, double clic sur le fichier lopxpMH.bat, attends que le rapport apparaisse  et poste son contenu.

Prends ton temps sarah, y a pas l'feu au lac lol, et si au fil des manips tu as un doute sur une façon de procéder, n'hésites pas à demander.

a++

moe · Answer

Re,

T'inquiètes, jusqu'à présent tu te débrouilles très bien :-)

Alors, côté hijackthis pas de signes d'infection active apparantes, mais on va rester prudent car hijackthis ne vois pas tout !

Côté lop, il reste 2 dossiers relatifs à l'infection:

C:\Documents and Settings\Vincent Sarah\Application Data\Else plus 
C:\Program Files\Else plus

Pour supprimer ces dossiers:

Il faut d'abord que tu t'assures d'avoir accès à tous les fichiers et dossiers, car certains sont cachés, comme par exemple le dossier Application Data dans lequel tu vas devoir aller.
Pour celà, ouvre n'importe quel dossier, ca n'a pas d'importance.
Dans le menu du dossier en haut, clic sur "Outil" puis sur "Options des dossiers"
Clic sur l'onglet "Affichage".
Coche la case devant "Afficher les fichiers et dossiers cachés"
Et clic sur "Appliquer", puis "Ok".

Une fois fait, rends toi dans:

C:\Documents and Settings\Vincent Sarah\Application Data  (<- fais attention au nom du compte)
et suprime le dossier Else plus.
Puis tu supprimes aussi Else plus, dans C:\Program Files.

Et vide la corbeille, lol :-)

Ensuite, ouvre Internet Explorer et vas dans le menu "Outils", puis dans "Bloqueur de fenêtres publicitaires intempestives". 
Ensuite choisis "Paramètres du bloqueur de fenêtres publicitaires intempestives". 

Dans la liste des sites de confiance autorisés à émettre des pubs/popups, supprime les 4 références à : 
netbios-wait
et
mysearchnow
Regardes ici, si tu veux voir ce que ça doit donner en images.

Quand tu auras supprimé ces deux dossiers et viré les sites du gestionnaire de popups d'Internet explorer, préviens moi et on passeras à la suite.


a+ tard...

SARAH · Answer

Très bien moe, ar contre j'ai fait "rechercher" C:\Documents and Settings\Vincent Sarah\Application Data, cela ne trouve rien alors comment doi-je faire pour trouver ce dossier autrement, j'attends ta réponse avant de continuer à suivre les conseils qui suivent.
lol 
a++

moe · Answer

En fait il ne faut pas que tu passes par la fontion "rechercher".

Tu peux faire de deux façons:

1/ La plus facile ;-)
Tu surligne et copie le chemin du dossier sur lequel tu veux te rendre, par exemple:
C:\Documents and Settings\Vincent Sarah\Application Data
Ensuite tu ouvre n'importe quel dossier et tu colle dans la barre d'adresse, puis tu tape sur la touche entrée pour valider.
L'explorateur ouvrira le dossier pour toi.

2/
Sinon, double clic sur le Poste de travail, double clic sur l'icône de ton disque dur (en général il s'appelle HDD C:)
A partir de là, tu ouvres un par un les dossiers qui correspondent au chemin de celui sur lequel tu veux aller.
Exemple:
Si tu veux aller dans C:\Documents and Settings\Vincent Sarah\Application Data

Double clic sur l'icone de ton disque dur (C:).
Double clic sur le dossier Documents and Settings
Double clic sur   le dossier  Vincent Sarah
Et enfin , double clic sur  le dossier  Application Data

Tu captes le principe ?

Dis moi si tu n'y arrives vraiment pas, on feras autrement.

a++

moe · Answer

Impec !

Mêmes vides, c'est mieux que tu les aies supprimés, ils faisaient partie de l'infection Lop et ça évitera toute confusion dans les rapports des différents outils qu'on pourra employer.

Bon, bin on peut passer à Vundofix alors :-).

Je sais pas si tu l'avais déjà téléchargé car Mok's@, t'avais demandé de le faire à un moment donné, mais si ce n'est pas le cas:
Télécharge VundoFix.exe (sur ton Bureau) ici.
http://www.atribune.org/ccount/click.php?id=4

Double-clic sur VundoFix.exe afin de le lancer
Clic sur le bouton [Scan for Vundo]
A partir de là...Patience et encore patience lol, le scan peut durer longtemps.
Lorsque le scan sera  complété et s'il a détecté quelque chose, clic sur le bouton [Remove Vundo]
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Le Bureau disparaîtra (c'est normal), et une invite te demandera de cliquer sur "Ok" pour que le pc redemarre, fais le.
Après le redemarrage du pc, il faudra que tu copie et colle le rapport généré par VundoFix, il se trouve à la racine de ton Disque dur:
C:\vundofix.txt  (Poste de travail > icône de ton DD > vundofix.txt)

A+ tard !

moe · Answer

Oups, j'avais pas vu ton dernier message.
Tu peux vérifier dans le journal d'Avast de quel fichier il s'agit ? (son nom)

a++

moe · Answer

Je vérifie pour le journal d'Avast et je te tiens au courant dès que j'ai trouvé, pendant ce temps tu peux faire  le scan avec Vundofix, oui.

A tout à l'heure !

moe · Answer

Ayé !, j'ai trouvé comment savoir sur quel fichier porte l'alerte !

Fais un clic droit sur l'icône d'Avast dans la barre des tâches (en bas à droite à côté de l'horloge), puis clic sur "visualiseur de journaux Avast"
Dans la partie gauche du visualiseur de journaux, clic sur "Avertissement", ensuite dans le menu du haut, tu clic sur "Fichier", puis sur "Exporter Liste actuelle".
Dans la fenêtre qui s'ouvrira, donne un nom au fichier rapport et choisis de l'enregistrer sur le bureau.
Bah, ensuite copie et colle son contenu sur le forum.

Bon app sarah, perso je file manger un p'tit truc et je repasse un peu plus tard.

a++

moe · Answer

Je vois, apparement il y a eu interférence entre Avast et vundofix, rien de méchant.
Mais c'est bien de l'avoir mis en quarantaine, tu as eu un très bon réflexe.

Ce qui viens de se passer, c'est que Vundofix à trouvé et fait une copie de sauvegarde de Win32:Adware-gen (c'est normal et plutôt rassurant, on sait jamais en cas de faux positif), c'est à dire du fichier C:\windows\system32\mljgf.dll.
Ce fichier, avant de le supprimer, Vundofix l'a copié en prenant soin de le renommer et l'a placé dans un dossier nommé Backups, au cas ou.
Et donc Avast à détecté C:\Vundofix Backups\mljgf.dll.bad, ce qui est tout à fait légitime.

Rhaaa !! En effet lol...
Mais merci quand même pour la lecture lol, à première vue c'est très instructif et je crois qu'on va pas hésiter à employer les grands moyens vu le type d'infection qui se trimballe sur ton pc depuis la fin juin.

Enfin... Le temps d'aller manger un p'tit bout avant...

A++

moe · Answer

Non, t'inquiètes pas, quand je parle de grand moyens, je fais référence aux outils qu'on va employer et de ton côté tu n'auras pas grand chose à faire, à part les télécharger et les lancer.
Si tu dois t'absenter, c'est mieux de reprendre demain alors, surtout pour sdfix et combofix que tu auras à utiliser.
Je te met les liens de téléchargement au cas ou tu aurais  le temps de les télécharger, mais ne les exécutes-pas, çà... se sera pour demain.

SDFix, ici:
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Et enregistre le sur le bureau.

ComboFix, ici:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Et enregistre le sur le bureau (important).

Au fait, je te fais télécharger pas mal de chose depuis ce matin, mais t'inquiète, en fin de nettoyage tu pourras supprimer tous les outils téléchargés.
Si vous êtes plusieurs à utiliser le pc, penses à prevenir ton entourage de ne pas  toucher à ces outils :-)

Vu que tu me disais que tout allait de travers depuis que tu as eu un virus via MSN, ce que tu peux faire avant de t'en aller, c'est de passer MSNFix et poster le rapport:

Télécharge MSNFix.zip de !aur3n7 sur le bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le sur ton bureau (clic droit >> Extraire tout) et dans le dossier MSNFix, double clique sur le fichier MSNFix.bat.

- Choisis l'option R.
- Si l'infection est détectée, exécutes l'option N.

Sauvegarde le rapport quel que soit le résultat, puis fais un copier/coller de ce rapport sur le forum.

a++ et passe une bonne fin de soirée, sarah.

PS:
Oui, tu peux même supprimer le dossier  C:\Vundofix Backups, pas de problèmes

moe · Answer

J'oubliais une chose...
Avant de lancer MSNFix, désactive la protection en temps réel d'Avast pour ne pas qu'il y ait d'interférences .
(clic droit sur l'icône Avast à côté de l'horloge > Désactiver la protection résidente)
Tu la réactiveras ensuite une fois le scan d'MSNFix terminé.

a++

moK´s@ · Answer

salut sarah et moe,

merci moe d´avoir pris la suite ;-)

bon courrage sarah ;-)

@+

moe · Answer

Salut moK´s@

Merci à toi d'avoir compris le sens de mon intervention (rien à voir avec cleanup à la base), en revenant encourager sarah :-)
C'était ton post au départ et personne n'a la science infuse, moi le premier, alors ne te gènes pas pour intervenir, c'est pas le but...

Sarah, tu pourras supprimer le dossier MSNFix sur ton bureau et MSNFix.zip, il n'y en a plus besoin, le rapport est clean.
Je repasserais demain pour t'indiquer quoi faire avec les deux "gros" lol (SDFix et combofix)  et on verra bien ce qu'ils diront.

Bonne fin de soirée à vous deux.

a+

afideg · Answer

Bonsoir Olive,    ;)

Je te dois des excuses évidemment.
Je me suis laissé emporter par la rage de voir que les recommandations données étaient systématiquement "contournées" et "mal exécutées".
J'ai pris la leçon dès la première lecture de ton intervention. J'y ai été très sensible.
Quant à ceci « C'était ton post au départ », sache qu'il y a un accord tacite entre Mok' s@ et moi qui nous permet d'échanger lorsque le besoin s'en fait sentir. Il n'y a aucune prétention, ni d'un côté ni de l'autre. Seulement une sympathie naturelle.

Bon W-E à toi.

Salut Mok' s@ 
hyvää iltaa & kiitos 
Al.

moe · Answer

Bonsoir Afideg

Bah... perso je ne vois aucunes raisons qui nécessitent que tu me doives des explications et encore moins des excuses... En quel honneur ?

Par contre...

a+

moe · Answer

Salut Sarah

Je te laisse la suite des manips à faire si jamais tu passes par là ce matin, car je dois m'absenter pour la fin de matinée/début d'aprem, donc je t'ai regroupé les étapes avec SDFix et combofix se sera plus simple.

Prends ton temps, et... t'inquiètes pas se sont les outils qui vont bosser pour toi ! ;-)
Fais les dans la mesure du possible dans l'ordre ou elles sont écrites et si à un moment donné tu as vraiment un gros doute, n'hésites pas à laisser tomber pour venir dire ce qui ne va pas.
Une fois que tu auras redemarré en mode sans échec (se sera le plus gros du boulot pour toi) tu n'auras pas accès au net, donc petite astuce ;-), enregistre avant sur ton bureau et dans un fichier texte, la totalité de la manip, ça te permettra une fois dans ce mode de pouvoir continuer tout tranquillement à la consulter.

Bah, je crois que j'ai rien d'autre à rajouter...non j'oublis rien lol.

C'est parti:

Sur ton bureau double clic sur SDFix.exe pour l'installer.
Laisse l'option proposé par défaut (C:\) et clic sur install.


Redémarre ensuite en mode sans échec 
Redemarre le pc normallement, laisse passer l'écran du bios, puis tapote intervales réguliers sur la touche F8.
Dans le menu qui apparaitra, choisis le Mode sans échec à l'aide les flèches du clavier, et valide en appuyant sur la touche [Entrée].
Choisis ton compte d'utilisateur pour ouvrir la session.
Si tu n'as jamais redémarré ton pc dans ce mode, tu peux te familiariser en images, ici:
https://www.malekal.com/demarrer-windows-mode-sans-echec/
ou là.
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Une fois en mode sans échec:

Ouvre le Poste de travail et double clic sur l'icône de ton disque C:
Dans le dossier SDFix double-clic sur le fichier RunThis.bat.
Appuies sur la touche Y pour lancer le script.
L'analyse peut durer une bonne vingtaine de minute si le pc est bien infecté, donc pas de panique s'il te semble que l'outil traine en longueur, c'est normal.
Il te sera demandé en fin d'analyse d'appuyer sur une touche pour permettre le redémarrage du pc afin que le nettoyage finisse de s'effectuer, si c'est le cas fais le.
De retour en mode normal le fix terminera son travail et affichera Finished. 
Appuies sur une touche et copie/colle le contenu du fichier qui s'ouvrira dans le bloc notes, dans ta prochaine réponse.
(Le fichier Report.txt généré, est sauvegardé dans le dossier C:\SDFix)
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Après qu'SDFix t'aies renvoyé en mode normal :-) :

Sur ton bureau double clic sur Combofix.exe.
Appuies sur la touche 1, pour que le programme commence à s'exécuter.
Le temps de l'analyse, les icônes du bureau vont disparaître (c'est normal) et en cours de nettoyage il est possible que tu reçoives un avertissement te disant que le pc va redémarrer, laisse faire.
Une fois terminé, le bureau réapparaîtra et le rapport s'ouvrira dans le bloc notes, copie et colle son contenu dans ton prochain message.
(Le fichier rapport Combofix.txt généré, est automatiquement sauvegardé à la racine de ton DD C:\Combofix.txt)
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Poste les deux rapports (C:\SDFix\Report.txt et C:\Combofix.txt) dans ta prochaine réponse.

Si tu as du temps devant toi, tu peux ensuite faire une analyse avec AVG Antispyware et poster le rapport si jamais je ne t'avais pas répondu d'ici là entre temps.
S'il détectait quelque chose, n'hésites pas à mettre en quarantaine dans un premier temps, il sera toujours possible ensuite d'y revenir et de supprimer.

Bon courage et à plus tard !

moK´s@ · Answer

salut a vous tous,

on va essayer de se mettre d´accord ;-)

c´est vrai que clean up 40 est assez radical!!!

mais l´infection explique la méthode...

y faut pas se facher, loin de la, restons cool...

des excuses, blah blah>on est tous les trois ici pour aider les pauvres internautes en detresse, n´est ce pas???

on va bien voir les rapports de sd fix et combofix, pour debattre...

bonne journée 

@+

moe · Answer

Salut Sarah,

Déjà je peux te dire qu'il y a eu un bon ménage de fait par ces deux progs et plusieurs infections ont été détectés et supprimées.
Pas mal...:-)

Pour ce qui est du programme SETPOINT, apparement c'est lié à un de tes produits Logitech, souris, webcam, clavier...etc
L'application en question à planté, mais ça ne veut pas forcément dire qu'il faille la réinstaller.
Vérifie par précaution que ton produit logitech fonctionne correctement ainsi que le ou les logiciels fournis avec.
Perso je crois pas que ce soit bien méchant.

Alors pour ce qui est d'internet explorer et l'histoire du navigateur par défaut, c'est normal et c'est lié à Combofix, l'outil réinitialise certains paramètres du navigateur qu'auraient pu modifier virus ou spyware et ceci en fait partis.
A toi ensuite de répondre oui ou non en fonction de si internet explorer est le navigateur que tu utilise le plus souvent ou pas.
Quant à l'alerte du pare-feu, à première vue ca semble normal, mais tu as bien fait de bloqué temporairement tant qu'on est pas sur que le pc soit totalement désinfecté.

Côté scan AVG, rien à signaler, il n'a détecté que des cookies et les a supprimés.

Le temps que je regarde plus en détail les deux rapport, est-ce que tu pourrais faire analyser ce fichier ici:
https://www.virustotal.com/gui/

C:\WINDOWS\system32\drivers\secdrv.sys

Sur le site, clic sur le bouton parcourir.
A l'aide l'explorateur de fichier qui va apparaitre, déplaces toi jusque dans le dossier:
C:\WINDOWS\system32\drivers
A l'intérieur de ce dossier, selectionne secdrv.sys et valide
Clic ensuite sur le bouton Send file
Le fichier va être uploadé et analysé simultanément par plus d'une vingtaine d'antivirus.
Au fur et à mesure de l'analyse, tu verras en bas de page, apparaitre le résultat pour chacun des AV.
Une fois l'analyse terminée, surligne et copie la totalité des résultats et colle le sur la forum.

A plus tard Sarah ! Je me plonge dans la lecture lol.

moe · Answer

Re,

Bon et bien après lecture des deux pavés lol, c'est plutôt encourageant pour la suite, Winantivirus pro a été supprimé par Combofix et à première vue les deux rapports n'indiquent pas ou plus d'infection active, seulement quelques résidus.
Et de ton côté ? Comment se comporte le pc ?
Toujours des pubs ou des alertes d'Avast?

Sans trop m'avancer je crois que le bout du tunnel n'est plus très loin :-), mais avant de passer à autre chose, il faudrait que tu fasses une petite recherche sur trois fichiers dont je voudrais m'assurer qu'ils n'existent plus.

Assure toi de ceci avant d'utiliser la fonction "Rechercher":
Menu Démarrer > Rechercher >> Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- Doit être coché
• Rechercher dans les fichiers et les dossiers cachés <- Doit être coché
• Rechercher dans les sous-dossiers <- Doit être coché

Ensuite lance une recherche (l'un après l'autre) sur ces trois fichiers:

ybeeg.*

fgjlm.*

hepmbkud.exe

Dis moi pour les deux premiers si la recherche est positive et dans ce cas leur nom complet.
Pour le troisième, dis moi simplement si la recherche l'a détecté ou pas.

Ensuite, via le poste de travail, rend toi dans C:\WINDOWS\system32
et supprime le fichier geeby.dll.vir

A y être, vérifie et supprime ce dossier s'il existe:
C:\WINDOWS\system32\hep

Voilà, je repasserais en début de soirée voir le résultat du scan du fichier de tout à l'heure et si tu as pu faire ces quelques recherches.

D'ici là, bonne fin d'aprem !

ps:
Je viens juste de lire ton dernier post et RAS pour l'analyse, j'avoue qu'il me restait un doute sur ce fichier et il vient de s'envoler !.
Heu...Ca vient de moi ou j'entend un bruit bizarre de grignotement ? ;-p
Lol, Bonne nouvelle et donc fausse alerte pour la souris.

moe · Answer

Quand tu dis, moins rapide, tu parles des surfs sur le net ou du temps que mettent certains programmes à s'exécuter ?
Tu défragmentes régulièrement ton pc ?
Pour le bloqueur de pubs, en fait il n'y a pas de niveaux, je crois que tu confonds avec les niveaux du gestionnaire de confidentialité qui sont dans la même fenêtre, mais qui concernent surtout la stratégie d'acceptation des cookies.  
Le mieux est de le laisser sur un niveau moyen si tu ne veux pas être embêtée.
Pour la gestion des popups par contre, jettes un oeil ici:
http://www.laboratoire-microsoft.org/articles/win/anti_popup/

Aucuns fichiers de trouvés... Excellent, donc on va pouvoir passer à l'étape suivante.

Vider la quarantaine d'Avast:

Clic droit sur l'icône d'Avast à côté de l'horloge
Clic sur "Démarrer Avast Antivirus.
Dans l'interface du programme, clic tout en haut à gauche sur le symbole "Eject" pour accéder au menu.
Dans le menu, clic sur "Zone de quarantaine" puis sur l'icône "Fichiers infectés"
Là, tu fais un clic droit sur chacunes des lignes qui correspondent à une alerte et tu clic sur "Supprimer"

Ensuite, avant s'occuper de supprimer les divers programmes que tu as utilisé, fais scanner la totalité de ton pc ici:
http://www.bitdefender.fr/scan_fr/scan8/ie.html
ou là:
https://www.kaspersky.fr/downloads
Et poste le rapport d'analyse.

Si rien n'est détecté je crois qu'on ne sera plus très loin de la fin du nettoyage...

A plus tard !

moe · Answer

Passe une bonne soirée et à demain !

a+

afideg · Answer

Salut SARAH,

moe ne fera rien avec ça, il lui faudra le rapport complet pour localiser ces infections.
Si tu veux lui préparer la besogne ...

"Generic.Virtumonde.1.F5CDD75C" ==> ça me rappelle quelque chose ( # 41 ).

Bon dimanche
Al.

afideg · Answer

Bonjour moe,

Pour info,  fichier luna.msstyles qui correspond au thème XP ici < 
http://perso.orange.fr/aeternum/luna.msstyles  > ==> INACTIF !  

J'ai quasi toujours la blague avec ces liens http://aeternum.perso.orange.fr qui deviennent inactifs après X jours ( quand ce n'est pas après Y heures ! ).

Peux-tu me donner une astuce pour vaincre ce souci qui m'empêche de suivre plusieurs de tes topics, s'il te plaît ? 

Merci d'avance. 

Al.

moe · Answer

Salut

Pour aeternum, les liens sont désactivés volontairement dans l'heure, dès que je suis sur que la personne vers qui le fichier était destiné a bien été téléchargé, ensuite il est supprimé.
Désolé...

Sarah,

Le rapport Bitdéfender indique qu'un point de restauration système est infecté, et l'a détruit, c'est peut-être à ce moment là, qu'il ya eu réaction d'Avast, d'ailleur...
Mais bon, je préfères qu'on s'assure de savoir si l'alerte d'Avast n'était juste qu'une interférence avec le scan en ligne ou pas.

En premier lieu tu va donc suivre le conseil d'afideg et utiliser ce programme: VirtumondoBegone
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Télécharges-le et enregistres-le sur ton bureau
=Double clic sur VirtumundoBeGone.exe
=clic Continue ==> clic Start
=clic Oui
=A la fin si Vundo est présent , le PC s’éteint et redémarre
Si Ecran bleu et message : Erreur fatale .., t'inquiètes c'est normal.

Poste ensuite le rapport VBG.TXT qui sera sur le bureau 

Et enfin, télécharge systemscan, ici:
http://www.suspectfile.com/systemscan/

Double clic sur le fichier téléchargé et clic ensuite dans le menu sur le bouton [unselect all]
Coche la case : Recent files, days old et dans le petit menu déroulant, choisis 120
Coche la case : Suspicious files

Clicensuite sur scan now pour lancer le scan.
En fin de scan le rapport apparaitra, poste tout son contenu.

Voilà pour l'instant :-)

a++

ps:
Pour la défrag, une fois par mois c'est largement suffisant, tu as fait le test pour voir si c'était nécessaire ?

moe · Answer

Salut Sarah,

Pour la defrag t'inquiètes c'est pas bien compliqué, en fait tu as même du y passer juste à côté sans t'en apercevoir :-)

Demarrer > executer et tape:
dfrg.msc
Puis Valide.
Tu verras en bas de la fenêtre, deux boutons, Défragmenter et Analyser
Clic sur Analyser, ca te dira si le dd a besoin d'être défragmenté ou pas ;-)

Pour Systemscan, ça arrive quelques fois et d'après le message que tu as reçu, le  bloqueur de popups d'IE bloque la fenêtre de téléchargement.
Laisse moi quelques minutes, je te le télécharge et te donne un lien pour l'uploader sans passer par leur site.

Apparement, rien du côté de virtumundobegone... Déjà une bonne chose.
On verra bien ce que donnera le rapport de systemscam, mais très franchement l'alerte d'Avast devait être lié au scan Bitdef...

A tout de suite

moe · Answer

Ayé...

Tu peux le télécharger ici:
http://cjoint.com/data/hDqBHvLAi2_sys30511.exe

a++

moe · Answer

Tu as bien fait pour la défrag, le mieux est de la faire le soir ou a un moment ou tu n'as pas spécialement besoin du pc.

Bon... c'est bien ce que je pensais, mis à part deux résidus que Vundofix entre autre aurait du trouver, perso je ne vois rien de suspect.

Rends visible les fichiers cachés dans les options des dossiers (je ne te remet pas la manip, au besoin elle est dans un message précédent) puis supprime:
C:\WINDOWS\system32\ ybeeg.ini
C:\WINDOWS\system32\hdkjbhjc.ini 
Si possible, n'utilises pas la fonction rechercher, rends toi directement dans les dossiers concernés.

Je dois filer, j'ai quelques bougies à aller souffler lol, je repasserais dans la soirée pour la suite.

a++

ps:
De rien et c'est normal, il n'y a pas si longtemps de ça, je me trouvais exactement à la même place que toi...

moe · Answer

Merci :-), c'est sympa et d'ailleur j'y retourne juste après avoir posté !


En fait j'ai pas pensé à te demander de rendre visible aussi les fichiers système, peut-être que c'est pour cette raison que tu ne les a pas trouvé.

J'ai hébergé un petit script perso ici, qui va faire la recherche et suppression à ta place.
Enregistre le sur ton bureau et lance le, le bloc note s'ouvrira ensuite avec le résultat.
Poste ce résultat.

Passe une bonne soirée et à demain.

moe · Answer

Assistée...Humm... Tu dis ça parceque tu n'as pas encore lu ce qui suit lol :-p

Je crois que c'est le moment maintenant de faire un peu le ménage avec les différents programmes téléchargés, donc je t'ai fait une petite liste des différents dossiers et fichiers à supprimer.
Possible que pour certains, tu t'en soit déjà occupée donc ne tiens pas compte de ceux que tu as déjà virés.

Voilà la liste:

Dans C:\ 

Dossiers:
- ComboFix
- QooBox
- SDFix
- suspectfile

Fichiers: 
- ComboFix-quarantined-files.txt
- ComboFix.txt
- fixnavi.txt
- lop.txt
- VundoFix.txt


Dans C:\WINDOWS

Fichiers:
- catchme.exe
- msnfix.txt
- nircmd.exe 


Dans C:\WINDOWS\system32\

Fichiers:
- swreg.exe 
- VundoFixSVC.exe


Sur le bureau :

sys30511.exe 
VundoFix.exe
ComboFix.exe 
SDFix.exe 
OTMoveIt.exe
CleanUp40.exe 
lopxpMH2.zip 
NoLop.exe 
Navilog1.exe 

Dans Ajout/Suppression de programmes, désinstalles si présent:
Navilog1
Panda ActiveScan

Si tu souhaites refaire de temps en temps un scan chez Bitdefender, ne tiens pas compte de ce qui suit, sinon désinstalles le contrôle ActiveX qui a servi pour le scan:
Ouvre Internet Explorer, dans le menu clic sur "Outils", puis sur "Uninstall Bitdefender Online scanner v8"

Et si tu pouvais vérifier pour voir s'il existe toujours, dis moi si tu trouve et peux supprimer:
C:\Program Files\CleanUp! (2)

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, direction les options du Pare-feu pour virer l'autorisation paramétré sans ton accord pour hepmbkud.exe.

Démarrer > exécuter et tape: firewall.cpl
Puis valide.
Cic sur l'onglet "Exceptions" et supprime ce qui fait référence à:
hepmbkud.exe ou C:\WINDOWS\system32\hep

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Etape suivante -> un p'tit nettoyage de printemps :-)

Nettoyage du disque:

Avant d'installer Ccleaner, qui va te servir à nettoyer les fichiers inutiles, je te recommande de bien lire d'abord l'aide et le tour d'horizon de ce logiciel qui devrait t'être très utile et ensuite un peu plus tard une fois Ccleaner installé, de pouvoir aussi te permettre d'adapter en connaissance de causes les diverses options en fonction de tes habitudes:
L'aide: 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

Lien de téléchargement:  
https://www.ccleaner.com/download

Une fois fait, utilises-le et lances le nettoyage.

Nettoyage des points de restauration système:

Dans le Poste de travail, fais un clic droit sur l'icône de ton disque dur (C:), puis clic sur "Propriétés"
Clic sur le bouton: [Nettoyage du disque]
Clic ensuite sur l'onglet "Autres Options"
Tout en bas dans la section "Restauration Système", clic sur [Nettoyer]	

Ca aura pour effet de supprimer tous les points de restauration système, à l'exception du plus récent et donc te permettre par la même occasion de récupérer pas mal d'espace sur ton disque.


Et enfin, refais une dernière fois un scan AV (deux avis vallent mieux qu'un lol), mais ce coup-ci chez kaspersky:
(penses à désactiver Avast le temps du scan)
https://www.kaspersky.fr/downloads 
Sur le site, clic sur le bouton [Kaspersky Online Scanner]
Accepte l'installation du Controle ActiveX et patiente le temps du téléchargement des mises à jours de la base virale.
Ensuite, choisis comme cible d'analyse parmis les options proposées, le Poste de travail.

Sauvegarde et poste le rapport une fois que ce sera terminé, ainsi qu'un nouveau rapport Hijackthis.

Lol, je crois que ça suffira amplement pour l'instant.
Franchement, si tu n'as pas le temps de faire le scan av demain matin c'est pas bien grave, ne te prends pas la tête pour çà.

Bonne fin de soirée et bon courage pour le taf !, bientôt les vacances ou c'est déjà la reprise ?

a++

moe · Answer

Salut Sarah

Prends ton temps y a pas urgence :-)

Exact pour Virtumundobegone, je l'avais oublié celui-ci lol, oui, oui tu peux le supprimer.

Je n'ai pas trouvé C:\Program Files\CleanUp! (2)
Tant mieux, si je me souviens bien tu avais eu un petit souci au moment de le supprimer, un message d'erreur je crois.
Ca arrive quelques fois et dans la majorité des cas un redemarrage du pc suffit pour que le dossier récalcitrant n'apparaisse plus ensuite.
Parfait ! lol

Bien vu !, le fichier AS uninstall doit correspondre au désinstalleur de l'ActiveScan de panda et plutôt que de le supprimer double clic dessus pour le désinstaller.
Ensuite si ce fichier existait toujours, supprimes-le.
Par contre pour le pare feu, je vais aller à la pêche aux infos, probable qu'il faille passer par le registre pour supprimer cette entrée, mais je t'en reparlerais plus tard dès que je serais sur de la manip à effectuer.

Franchement pour les fichiers cachés, c'est affaire de choix, perso je laisse visible fichiers cachés et système, mais si vous êtes plusieurs à avoir accès au pc, recaches-les, ça évitera tout risque de suppression accidentelle.
Par contre, j'espère que tu laisse visible les extensions de fichiers ?

Tu fais bien de poser la question t'inquiètes, c'est bizarre en effet mais j'avoue que j'ai du mal capter, tu parles du petit logo dans la barre d'adresse ou dans les favoris, juste devant le lien ?
C'est pas celui de Bitdef plutôt car il ne me semble pas que tu aies fait de scan chez Kasperky encore ?
Dis moi si ça persiste après avoir désinstallé Bitdefender Online scanner et redemarré le pc.

Bon courage à toi avec les p'tit bou'd'chou surtout :-), ça doit pas être toujours de tout repos !, perso je suis encore en congès jusqu'à...bin demain lol.

@++

moe · Answer

Tant mieux si c'est revenu à la normale pour le logo, bah quelques fois c'est magique comme tu dis et surtout lol, faut pas chercher à comprendre !.

A propos de Kaspersky, une fois que tu en seras à cet écran:
http://cjoint.com/data/hEsRgagQb3_kav.JPG
Il te faut cliquer sur le lien Poste de travail (ou My Computer si c'est in english).
Ensuite tu n'as plus rien à faire, le scan démarre automatiquement.

Pour ce qui est des extensions, je n'ai fait aucune manip pour les faire disparaitre mas il est vrai qu'elles n'y sont pas toutes, comment faire pour être sûre qu'elles sont visibles?
L'option se trouve au même endroit que pour rendre visible les fichiers cachés et s'appelle:
Masquer les extentions des fichiers dont le type est connu
La case juste devant doit être décoché.
Ca te permettra d'être sure de savoir sur quel type de fichier tu cliques.
Par exemple sans cette précaution un fichier nommé sarah.jpg.exe s'affichera sarah.jpg, faisant croire que c'est une image alors qu'en réalité c'est un exécutable et donc facile de se laisser piéger si on est pas méfiant...

Pour le blocage du pare-feu je pense pas qu'il s'agisse d'MSN, mais plutôt du Messenger windows qui n'a rien à voir je ne dis pas de bétises, sinon en refusant l'accès tu ne pourrais pas utiliser MSN.
Quand tu en auras fini avec le p'tit nettoyage de printemps lol, tu reposteras un rapport hijackthis et on l'enlèvera carrement du démarrage.
Pas la peine qu'il se lance automatiquement à chaque fois si tu ne t'en sert pas.

Je ne pourrais pas repasser avant la fin de soirée, donc à plus tard ou à demain pour la suite.

a++


ps:
Lol, non du tout, s'en est même loin ! Mon boulot n'a rien à voir avec l'info et consiste à m'occuper de l'entretien et la création d'espace vert/fleuris dans ma commune. (pour faire simple et rapide, je suis cantonnier !).


a++

afideg · Answer

Re,
C'est vrai que tu es indiscrète.
Il ne te répondra pas.
Je vais le faire pour lui.

Il a 17 ans et poursuit un graduat en sciences humaines.
Il est belge comme moi, de Liège et ne boit que du Pècket.
Ses connaissances, il les doit à sa grande curiosité inassouvie.

Mais attention, ma mère me répétait sans cesse : « La curiosité est un vilain défaut »
Hi, hi.

Apparemment, à toi elle a rapporté.
Bravo.

Al.

afideg · Answer

Re,
Ce n'est rien SARAH.
J'ai admiré ton courage et ta foi en la résolution de tes soucis, mais particulièrement en la façon dont tu l'espérais.

Attention, le PC est un serpent malicieux qui prend ton temps si tu n'y prête pas attention.

Merci d'avoir accepté mon humour ==> ne crois rien de ce que j'ai écrit, moe n'est pas ce que j'ai écrit.
Il est bien plus que cela.
Moe nous a beaucoup appris à travers ces explications et sa méthode de "travail"/investigation.

Personnellement, il me manque beaucoup depuis trop longtemps.

Bonne chance
Al.

Virus win32: obfuscated

56 réponses

Votre réponse

Discussions similaires

Newsletters