Après désinfection spyware, pour être nickel

Résolu
darkaeons Messages postés 4 Statut Membre -  
kris6943 Messages postés 1517 Statut Membre -
Bonjour à tous !

La semaine dernière j'ai été infecté par ultimate defender et nettoyeur de PC. J'ai entre autres perdu toutes mes licences de WMP, et je pense que c'est lié.
Pour ma désinfection je me suis aidé de vos conseils déjà existants et j'ai utilisé smitfraudfix et avg antispywares en mode sans échec.
Tout est revenu à la normale mis à part :
- erreur sur p2esocks_1030.dll au démarrage : encore sur des conseils existants je suis passé en démarrage "sélectif"
- j'ai encore de temps en temps une alerte de ultimate defender ou consor
- je trouve systématiquement des cookies infectés lors de mes analyses antivirus

D'autre part, j'ai un message d'erreur lorsque je veux lire mes fichiers musicaux/vidéos prétégés par DRM, même avec des nouveaux fichiers (que je viens d'acheter). J'ai pourtant déjà supprimé le dossier allusers/drm et réinstallé complètement WMP 11 (avec runtime). Je ne sais pas si ce problème est lié à mon virus, mais si vous avez une idée de ce que je dois faire, ce serait avec plaisir :)

Enfin je tombe au démarrage sur la sélection de session (alors qu'il n'y en a qu'une) alors que ce n'était pas le cas avant et le PC est très long à démarrer.

Si vous pouviez examiner mon cas et m'aider à compléter la désinfection et à optimiser un peu tout ça, je vous en serais très reconnaissant !

Je vous joins un rapport Hijackthis et un rapport smitfraudfix. Je précise que je n'ai pas d'imprimante ou de logiciel epson (j'ai cru voir une ligne epson dans le rapport).

http://www.eclairdesdunes.com/pascal/hijackthis.txt
http://www.eclairdesdunes.com/pascal/rapportsmitfraudfix.txt
Configuration: Windows XP
Internet Explorer 7.0

42 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Suite à une infection par Ultimate Defender et un nettoyeur de PC, des licences WMP ont été perdues et des alertes résiduelles, ainsi qu'un message d'erreur DRM, apparaissent au démarrage via le fichier p2esocks_1030.dll.
Plusieurs méthodes de désinfection ont été tentées, incluant SmitFraudFix en mode sans échec, des analyses AV comme AVG antispyware, et des procédures HijackThis, navilog et CCleaner, Spybot et Ad-Aware.
Des éléments évoqués portent sur la suppression de lignes obsolètes, la gestion de services Windows et les difficultés DRM persistantes sur WMP11 malgré les réinstallations, et l'approfondissement des pistes pour sécuriser le système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. kris6943 Messages postés 1517 Statut Membre 144
     
    commence par installer un pare feu

    puis fais ceci
    Affiche tous les fichiers et dossiers :
    clicker sur demarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher
    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Puis fais «Ok» pour valider les changements.
    Décocher masquer les extensions dont le type est connues

    ensuite tu demarres en mode sans echec et en passant par demarrer rechercher tous les fichiers et dossier tu cherche ceci et tu supprime

    C:\WINDOWS\system32\monycom.exe

    passe a l'option 2 de smitfraudfix en mode sans echec et reviens ici avec le rapport

    ------------------------------------------
    tu es infecté par tout ça, entre autres choses:
    http://www.castlecops.com/s4987-Windows_Update_Process.html
    http://www.castlecops.com/tk59-NavErrRedir_Class.html
    http://www.castlecops.com/atxlist-1413.html
    http://www.castlecops.com/o23list-810.html
    0
  2. darkaeons
     
    lol, j'adore le "entre autres choses". C'est déjà pas mal...
    Merci pour ta réponse, je vais faire tout ça et je reviens.
    Et d'ailleurs j'ai déjà un pare feu, celui de bitdefender.
    0
  3. darkaeons
     
    Voilà qui est fait.
    Je n'ai pas trouvé monycom.exe, visiblement il a déjà été enlevé, parce que là, aucune trace.

    Et voici le nouveau rapport smitfraudfix, après l'option 2 :

    http://www.eclairdesdunes.com/pascal/rapportsmitfraudfix0609.txt
    0
  4. kris6943 Messages postés 1517 Statut Membre 144
     
    essaye l'option 2 toujours en mode sans echec puis donne moi le rapport

    fais également un hijackthis
    telecharge le sur CCM
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. darkaeons
     
    voici les rapports :

    http://wwww.eclairdesdunes.com/pascal/rapportsmitfraudfix0609bis.txt
    http://wwww.eclairdesdunes.com/pascal/hijackthis0609.txt
    0
  7. kris6943 Messages postés 1517 Statut Membre 144
     
    Serveur introuvable

    Firefox ne peut trouver le serveur à l'adresse wwww.eclairdesdunes.com.

    * Veuillez vérifier la syntaxe de l'adresse
    (saisie de ww.exemple.com au lieu de
    www.exemple.com par exemple) ;

    * Si vous n'arrivez à naviguer sur aucun site, vérifiez la connexion
    au réseau de votre ordinateur ;

    * Si votre ordinateur ou votre réseau est protégé par un pare-feu ou un proxy,
    assurez-vous que Firefox a l'autorisation d'accéder au Web.
    0
  8. darkaeons
     
    désolé, j'ai fait une faute de frappe

    voici les rapports :

    http://www.eclairdesdunes.com/pascal/rapportsmitfraudfix0609bis.txt
    http://www.eclairdesdunes.com/pascal/hijackthis0609.txt
    0
  9. kris6943 Messages postés 1517 Statut Membre 144
     
    je trouve des traces d'au moins 6 ou 7 vers, spywares trojan adware etc dans ton log
    et monycom.exe est toujours là

    1) commence par installer ccleaner et fais un grand nettoyage avec

    2) fais un scan en ligne avec https://www.trendmicro.com/fr_fr/business.html

    3) telecharges http://www.alt-shift-return.org/Info/GenProc-HowTo.html

    4) tiens moi au courant de la suite et met moi les rapports quand il y en a
    0
  10. darkaeons
     
    merci pour ton aide, de 8h du mat à 11h du soir!!
    alors voilà tout est fait, et voici les rapports :

    http://www.eclairdesdunes.com/pascal/rapportccleaner.txt
    pas de rapport pour trend micro, mais je l'ai fait 2 fois, deux fois il m'a dit que tout était clean
    http://www.eclairdesdunes.com/pascal/GenProc.txt

    et pour finir
    http://www.eclairdesdunes.com/pascal/hijackthis0609bis.txt

    J'espère que c'est bon... ou au moins que c'est mieux (j'ai vu que monycom était toujours dans le rapport...)
    0
  11. darkaeons
     
    si je comprends bien je dois suivre les instructions données par genproc. je ferai ça demain, soit le matin soit le soir, je te tiens au courant.
    Et encore merci pour ton aide.
    0
  12. kris6943 Messages postés 1517 Statut Membre 144
     
    2.5 Go de récupérés grâce à ccleaner, il y a un moment que tu avais pas balayé..lol

    yes tu vas suivre a la lettre les indications de genproc
    0
  13. darkaeons
     
    oui j'ai vu ça... en même temps je fais régulièrement l'outil de nettoyage de windows, mais il ne supprime pas les historiques des différents logiciels, par exemple.
    Ca fait du bien déjà.
    0
  14. darkaeons
     
    voilà tout est fait :

    http://www.eclairdesdunes.com/pascal/rapportbfu.txt
    http://www.eclairdesdunes.com/pascal/rapportbfubis.txt
    http://www.eclairdesdunes.com/pascal/rapportsdfix.txt
    http://www.eclairdesdunes.com/pascal/hijackthis0709.txt

    par contre j'ai réactivé tous les processus au démarrage (msconfig) et j'ai à nouveau l'erreur concernant p2esocks_1030.dll

    pas de rapport ccleaner, mais c'est parce qu'il n'y avait rien d'autre que des fichiers temp.
    0
  15. kris6943 Messages postés 1517 Statut Membre 144
     
    Error 404 - Not found

    Le fichier requis n'a pas été trouvé. Il peut s'agir d'une erreur technique. Veuillez réessayer ultérieurement. Si vous ne pouvez pas accéder au fichier après plusieurs tentatives, cela signifie qu'il a été supprimé
    0
  16. darkaeons
     
    encore désolé, j'ai fait une erreur de manip.
    les liens du dessus sont corrigés.
    Et j'ai encore eu une alerte d'un antivirus bidon...
    0
  17. kris6943 Messages postés 1517 Statut Membre 144
     
    1) fixes ces lignes avec hijackthis (sauf si les liens internet inclus dedans te semblent connus et sûrs)

    O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
    O16 - DPF: {E795CA75-530A-4981-80F2-0C9EF7CF0F58} (vcload) - http://secure.goodthinxx.com/select/SelectGoodthinxx/vcloadgt.cab
    O16 - DPF: {F4653484-F38C-455F-BB15-1175E527754E} (VideoProducer Class) - http://www.jointheorgy.com/static/class/webcam_ie6/webcam2.cab
    O16 - DPF: {91D4B4D5-E368-40AB-8F53-A37FA634B471} (Installer9Ctrl Class) - http://www.tellmemorecampus.com/bin/tol9inst.cab
    O16 - DPF: {5F05A225-0F66-43DE-89E4-6FFD589C4F01} (OC web Installer) - http://www.objectcube.com/dc5/aebn/files/objectCubeInstall.cab
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
    O23 - Service: Windows cfg (a3) - Unknown owner - C:\WINDOWS\System32\ascv.exe (file missing)
    O23 - Service: Remote Manager Sharing (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)
    O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

    2) télécharge AVG Anti-Spyware 7.5 (trial version)
    http://www.grisoft.com/doc/downloads-products/ww/crp/0?prd=triasw
    tu le mets à jour et tu fais un scan
    puis tu me mets le rapport

    3) quand le controle antispyware est fini tu refais également un log hijackthis
    0
  18. darkaeons
     
    Voici le nouveau scan hijackthis :
    http://www.eclairdesdunes.com/pascal/hijackthis0809.txt

    J'ai supprimé toutes les lignes ci-dessus sauf celle de tellmemore (logiciel de langues en ligne).

    Devrais-je également supprimer les lignes suivantes ??

    O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
    parce que je n'ai à ma connaissance aucun logiciel symantec (comment vérifier?)

    O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1030.dll,InstantAccess
    qui me provoque une erreur (dll non trouvé) à chaque démarrage

    O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version4/Applet/vchatsign.cab
    O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version4/Applet/wchatsign.cab
    O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
    et
    O4 - HKLM\..\Run: [il mio dolce tesoro] monycom.exe

    merci encore pour ton aide.
    0
  19. kris6943 Messages postés 1517 Statut Membre 144
     
    Devrais-je également supprimer les lignes suivantes ?? OUI, obsolètes

    O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    **********************************************************
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
    parce que je n'ai à ma connaissance aucun logiciel symantec

    NON dans le doute mieux vaut s'abstenir
    Traces de logiciels qui ne sont plus présents mais qui l'ont été???????
    (comment vérifier?) en allant dans program files --> puis clic sur rechercher
    et dans la zone "rechercher un mot ou une phrase dans le fichier" faire un copier coller de ceci symantec;norton

    **********************************************************
    O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version4/Applet/vchatsign.cab
    O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version4/Applet/wchatsign.cab
    O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

    OUI tu peux les cocher, les lignes O16 correspondent à des controles activeX (utilisés par internet explorer)
    simplement si un jour tu retournes sur un site ou ils sont nécessaires, il faiudra les réinstaller.
    Mais IE se chargera de te le rappeler
    **************************************************************
    Pour monycom je ne sais pas mais il me parait douteux ce truc.

    Commence par essayer de le trouver avec la recherche de windows...
    c'est sans doute un fichier systeme et caché alors coches les bonnes options pour le rendre visible
    si tu ne le trouves pas on verra une autre méthode
    0
  20. kris6943 Messages postés 1517 Statut Membre 144
     
    j'ai vu que tu avais posté ici aussi en recherchant monycom.exe lol

    https://community.bitdefender.com/en/?%2Ftopic%2F1886-compl%C3%A8ter-la-d%C3%A9sinfection%2F=#entry10687
    ****************************************************
    va voir ici aussi au post N°3 ce que "Balltrap" préconise
    backdoor qui revient

    Balltrap est une référence sur CCM, m'a t il semblé, aussi je pense que son conseil est judicieux.
    (Pour info il a 52 pages de topics auxquels il a participé dans la rubrique virus/sécurité de CCM)

    0
  21. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,

    peut être essayer navilog, (instant access)
    Télécharge navilog1 (Merci il.mafioso!)

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    * Ensuite double clique sur navilog1.exe pour lancer l'installation.

    * Une fois l'installation terminée, le fix s'exécutera automatiquement.

    * (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    * Laisse-toi guider. Au menu principal, choisis 1 et valides.

    /*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\

    * Patiente jusqu'au message : *** Analyse terminée le ..... ***

    * Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.

    * Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

    * Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
    0
  • 1
  • 2
  • 3