Win32.Bzub.btx Résolu/Fermé

Question

Bonjour,

En plus du Virus Win32:Small-open 2, Kapersky que je vien s de télécharger détecte le Win32.Bzub.btx...., je ne sais plus quoi faire, j'ai vraiment besoin d'aide s'il vous plait merci :)

Richard

Darckiller · Answer

Salut à toi, suis ma démarche dans l'ordre:


-Tu désactives l'Accès à distance de Windows:
Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "À distance" -> décoche la case "Autoriser l'envoi d'invitations d'assistance à distance à partir de cet ordinateur" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Ok" en bas.
L'accès à distance de Windows est un outil utile permettant se connecter et de configurer son PC à distance, ou encore d'aider une personne ayant des problèmes sur son ordinateurs à distance. Cependant cet outil est détourné par les pirates pour prendre le contrôle d'ordinateurs.

-Tu dois avoir accès à tous les fichiers de ton système: 
Démarrer -> poste de travail -> clique sur le menu "Outils" en haut -> sélectionne "Option des dossiers" -> clique sur l'onglet "Affichage" -> coche la case "Afficher les fichiers et dossiers cachés" -> décoche la case "Masquer les extensions des fichiers dont le type est connu" -> décoche la case "Masquer les fichiers protégés du système d'exploitation" -> clique sur le bouton "Appliquer" en bas -> clique sur le bouton "Appliquer à tous les dossiers" en haut -> clique sur le bouton "Ok" en bas.

-Tu désactives l'Affichage des messages: 
Démarrer -> exécuter-> tape "services.msc" -> un menu s'ouvre: tu sélectionnes la ligne"Affichage des messages" dans la colonne Nom -> clique droit sur cette ligne -> choisis"propriétés"-> dans le panneau "Statut du service" clique sur arrêter -> puis dans le menu déroulant "Type de démarrage" choisis "Désactiver". 
L'affichage des messages est un services que certains pirates et autres personnes malintentionnées utilisent afin d'envoyer des messages publicitaires et des "pourriels" sur le réseau Internet. Ils gênent la navigation sur le Web et perturbent les activités en cours.
Si cela est déjà fait, c'est bien, ne touche à rien. 


-Tu fais un scan en ligne pour identifier les menaces présentes dans ton PC (http://pandasoftware.fr ),
 clique sur le bouton "Lancer TotalScan !" (vert foncé),
 coche l’option "Full Scan" sous le bouton "Scan Now" (vert foncé),
 clique sur le bouton "Scan Now",
 installe le Plug-in ou ActiveX demandé au préalable,
copie et colle le rapport obtenu (un page de texte bloc-note).
 

-Tu fais un scan avec HijackThis.
Pour faire un scan HJTH, il faut : 
télécharger ce programme (https://www.trendmicro.com/fr_fr/business.html ),
sur cette page choisis le programme : "Download Hijakcthis Installer" (en bleu clair), 
installe le sur ton PC.
Ouvre HJTH en cliquant sur l'icône nouvelle qui apparaît (un détective avec un chapeau rouge),  
cliques sur le bouton "Do a system scan and save a log file",
attends qu'il est fini le scan de ton PC,
une page de texte (généralement le bloc-note) s’ouvrent avec des lignes: c'est ton rapport ; 
copie et colle ce rapport sur un nouveau message.

Machupichu · Answer

D'abord merci, j'étais étonné de ne pas avoir de nouvelles depuis 3 jours alors grand merci davance.

J'avais déja posté des rapports de scan Hijackthis , cela peut aider ou je refais tt dans l'ordre ??

Darckiller · Answer

Oui il faut que tu refasses tout dans l'ordre stp.

Machupichu · Answer

Reu, voici déja le compte rendu de Totalscan : 
;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-10-31 18:14:45
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Kaspersky Anti-Virus                         7.0.0.124                     No        Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00032731  application/mywebsearch            HackTools           No        0         Yes            No           HKEY_LOCAL_MACHINE\software\classes\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
00032731  application/mywebsearch            HackTools           No        0         Yes            No           hkey_classes_root\clsid\{9afb8248-617f-460d-9366-d71cdeda3179}
00139535  Application/Processor              HackTools           No        0         Yes            No           C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\Process.exe
00139535  Application/Processor              HackTools           No        0         Yes            No           C:\WINDOWS\system32\Process.exe
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Documents and Settings\RICARDO\Cookies\ricardo@xiti[1].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@xiti[1].txt
00170554  Cookie/Overture                    TrackingCookie      No        0         Yes            No           C:\Documents and Settings\RICARDO\Cookies\ricardo@overture[1].txt
00517584  Application/SuperFast              HackTools           No        0         Yes            No           C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\restart.exe
02197130  Trj/Rebooter.J                     Virus/Trojan        No        1         Yes            No           C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\Reboot.exe
02373548  Generic Trojan                     Virus/Trojan        No        0         Yes            No           C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP3\A0000335.exe
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
C:\WINDOWS\SYSTEM32\APPCERT\WSIL32.DLL
;===================================================================================================================================================================================
Je fais le HJ de suite

Machupichu · Answer

Voici le HJTH ( pour info ton lien vers Trendmicro n'amène npas sur la bonne page ?)

Logfile of HijackThis v1.99.1
Scan saved at 18:20:55, on 31/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\Program Files\Fichiers communs\System\MAPI\1036
t\MAPISP32.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {38C4AC06-914B-4452-92FA-3C630016AB77} - c:\windows\system32\cryptextf.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
O2 - BHO: (no name) - {D935B3AA-08A7-437E-B28A-9DE607F24056} - C:\WINDOWS\system32\dbnmpntwi.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: utwqwwgr - C:\WINDOWS\SYSTEM32\cryptextf.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

Voili voilou, je sais que c'est maintenant que cela va se "corser" ;)

Darckiller · Answer

Ok tu m'as l'air d'avoir une infection de type Smitfraud.

Il  faut donc faire Smitfraudfix.

Télécharge le fichier puis
suis donc la procédure du site:
http://siri.urz.free.fr/Fix/SmitfraudFix.php

Poste le rapport obtenu 

***************************************************************************

Garde Kaspersky comme antivirus, il est efficace ;)


***************************************************************************

-Tu fais un scan en ligne avec F-SECURE ( http://support.f-secure.com/fra/home/ols.shtml
supprimes les malwares ou infections trouvés;

fais un scan en ligne avec Securiser (http://www.secuser.com/ ),
supprimes les malwares ou infections trouvés; 

fais un scan en ligne avec Windows Live One Care (accepte le contrôle ActiveX ou le Plug-In lors de l'installation) (http://onecare.live.com/site/fr-FR/default.htm )
supprimes les malwares ou infections trouvés; 

fais un scan en ligne avec Trend Micro PC-Cillin (https://www.trendmicro.com/fr_fr/business.html ) 
et supprimes les malwares ou infections trouvés;

fais un scan en ligne avec Panda Security (https://www.pandasecurity.com/fr/homeusers/online-antivirus/?track=80379 )
supprimes les malwares ou infections trouvés;

Postes les rapports obtenus de F-SECURE et de Panda Security.


*************************************************************************

-Tu télécharges Spybot S&D 1.51 (https://www.safer-networking.org/download/ ), 

Ad-Aware (http://www.lavasoftusa.com/products/ad_aware_free.php ) 

et A-Squared Free 3.0 (https://www.emsisoft.com/fr/ ),

installe chacun de ces antispywares, 

mets à jour chacun d'eux, 

puis fais un scan minutieux, complet, et profond de ton PC avec chacun d'eux, 

et supprime les problèmes qui vont s'affichés.



La patience et le calme est essentiel en informatique donc prend ton temps et ne t'impatiente pas car cela va être long.


Voili Voilou ;)

Machupichu · Answer

Salut, voici déja le rapport Smitfraudix : 

SmitFraudFix v2.242

Rapport fait à  9:16:06,68, 02/11/2007
Executé à partir de C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\RICARDO


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\RICARDO\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\RICARDO\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Je m'occupe de la suite


Le boeuf est lent, mais la terre est patiente ;)

Machupichu · Answer

Rapport F-secure : 
Scanning Report
Friday, November 02, 2007 09:54:58 - 10:54:51
Computer name: PC665622837307 
Scanning type: Scan system for viruses, rootkits, spyware 
Target: C:\ D:\ 


--------------------------------------------------------------------------------

Result: 5 malware found
Tracking Cookie (spyware) 
System (Disinfected) 
System 
System 
System 
System 

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 31796 
System: 4456 
Not scanned: 4 
Actions:
Disinfected: 1 
Renamed: 0 
Deleted: 0 
None: 4 
Submitted: 0 
Files not scanned:
C:\HIBERFIL.SYS 
C:\PAGEFILE.SYS 
C:\WINDOWS\SYSTEM32\DBNMPNTWI.DLL 
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT 

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure Libra: 2.4.2, 2007-10-30 
F-Secure AVP: 7.0.171, 2007-11-02 
F-Secure Orion: 1.2.37, 2007-11-02 
F-Secure Blacklight: 1.0.64 
F-Secure Draco: 1.0.35, 0597-150-72 
F-Secure Pegasus: 1.19.0, 2007-09-18 
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX 
Use Advanced heuristics 

--------------------------------------------------------------------------------

Copyright © 1998-2006 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

Darckiller · Answer

Ok c'est bien; 
On désinfecte ton PC au fur et à mesure.

Continue la procédure. 

;)

Machupichu · Answer

Salut, désolé je n'ai pas vraiment un  rythme soutenu !!

Avant la suite, je me permets 2 questions : Kapersky memet ttes les 5 mn en alerte avec 2 applications qui sont : C/windows/System32/Winlognon.exe et C/windows/System32/Svchost.exe en realation avec Outlook expresse et Internet explorer....
Comme d'hab, je ne sais pas ce que c'est et ne sais encore moins si je dois autoriser ou pas ?
Et puis y-a-t-il un risque à faire un scan Windows Live on care dans la mesure ou je ne sais pas d'ou vien t mon XP ?

Bon, je vais m'occuper du Panda....

A+ et bon week-end ;)

Darckiller · Answer

Winlogon et svchost sont des procesus TOTALEMENT LEGITIMES de Windows.
Donc pour la bonne marche de ton PC, svchost et Winlogon doivent etre autorisé. (aussi non ton PC connaitra des défaillance et un tas de problèmes).

Winlogon permet de vérifier, entre autre, les comptes d'utilisateurs et des fonctions d'autenthification, c'est un processus critique qui ne dois jamais etre arreter.
Svchost gère plein d'application mettant en relations le système, les services, et les programmes de ta machine donc  indispensable !

Si tu "ne sais pas d'où vient ton XP", tu peux avoir une version piratée, qui bien souvent fonctionnent grace à des malwares; 
si c'est le cas, je ne peux rien faire pour toi; en effet, les malwares sont supposé assuré la bonne marche du sytème d'exploitation, ILS FONT PARTIS DU SYSTEME D'EXPLOITATION LUI-MEME DANS CE CAS. DONC IMPOSSIBLE DE LES SUPPRIMER EN RENDANT UTILISABLE TON SYSTEME.

Cela étant dis, et si ta version d'XP est valide, tu n'as pas besoin d'autenthififaction Windows pour faire Windodws Live One care, l'antivirus en ligne de MIcrosoft, qui est utile.

Continue le protocole.

Enjoy ;)

Machupichu · Answer

Voici le scan Panda : 

Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                         

Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\Process.exe                                                                                                                                                                                               
Virus:Trj/Rebooter.J                                                            Désinfecté                    C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\Reboot.exe                                                                                                                                                                                                
Outil indésirable:Application/SuperFast                                         No Désinfecté                 C:\Documents and Settings\RICARDO\Bureau\SmitfraudFix\restart.exe                                                                                                                                                                                               
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\RICARDO\Cookies\ricardo@xiti[1].txt                                                                                                                                                                                                   
Spyware:Cookie/RealMedia                                                        No Désinfecté                 C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@247realmedia[1].txt                                                                                                                                                                       
Spyware:Cookie/2o7                                                              No Désinfecté                 C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@2o7[1].txt                                                                                                                                                                                
Spyware:Cookie/Serving-sys                                                      No Désinfecté                 C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@serving-sys[2].txt                                                                                                                                                                        
Spyware:Cookie/Smartadserver                                                    No Désinfecté                 C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@smartadserver[1].txt                                                                                                                                                                      
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\RICARDO\Local Settings\Temp\Cookies\ricardo@xiti[1].txt                                                                                                                                                                               
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\WINDOWS\system32\Process.exe

Darckiller · Answer

Ok il y a encore quelque malwares à supprimer, mais rien de bien méchant.

Passe à la suite avec les 3 ANTI SPYWARES après avoir fais le scan enlinge de WINdows LIve ONE  Care.

Machupichu · Answer

Salut, 

J'ai fait tous les scans, a-squared a détécté un Trojan-Win32.Agent.bux et supprimé, ce matin Kapersky a réussit à supprimer Win32-Bzub.btx, aucune nouvelle du premier détecté par avast : Win32:Small-gen2 ( et je n'ai plus avast ) 

Par ailleurs aujourd'hui à 2 reprises je me suis retrouvé d'un seul coup avec mon papier peint de bureau et plus rien d'autre, aucun objet affiché, aucune action possible autre que redémarrer.... cela n'était jamais arrivé

Voilà les news de mon côté, 

Dans l'attente de vos commentaires, 

Merci

Richard

Darckiller · Answer

Ok, on est sur la bonne voie ! Ton PC est presque propre.

Pour la disparition des icones et le papier peint juste qui reste,
 cela doit être un bug de Windows (il faut redémarrer le processus " explorer.exe" dans le gestionaire des taches).

Cependant, je me m'assurer que ton PC n'a pas de rootkit et autres backdoor.

-Tu télécharges PANDA Antirootkit  ( https://www.pandasecurity.com/en/mediacenter/?ref=mc_research ),
  installe le programme, 
  met le à jour, 
  fais un scan minutieux et complet de ton PC, 
  supprime les problèmes qui vont s'affichés.

Télécharges AVG Antirootkit ( http://www.avgfrance.com/doc/products-avg-anti-rootkit-free-edition/fr/crp/0 )
installe le programme, 
  met le à jour, 
  fais un scan minutieux et complet de ton PC, 
  supprime les problèmes qui vont s'affichés.

Télécharge Sophos Anti-Rootkit (http://www.sophos.fr/products/free-tools/sophos-anti-rootkit/eula ),
  installe le programme, 
  met le à jour, 
  fais un scan minutieux et complet de ton PC, 
  et supprime les problèmes qui vont s'affichés.
  
Ces programmes sont spécialisés dans la recherche de fichiers cachés, de rootkits, de backdoors.


Une fois ceci fait, poste un nouveau rapport HJTH:

Ouvre HJTH en cliquant sur l'icône nouvelle qui apparaît (un détective avec un chapeau rouge),  
cliques sur le bouton "Do a system scan and save a log file",
attends qu'il est fini le scan de ton PC,
une page de texte (généralement le bloc-note) s’ouvrent avec des lignes: c'est ton rapport ; 
copie et colle ce rapport sur un nouveau message. 


Je t'indiquerai par la suite, si ton PC est désinfecté, les logiciels à garder et comment te protégé efficacement.


Enjoy ;)

Machupichu · Answer

Ola ;)

Les 3 scan anti-rootkits, n'ont rien detecté ce qui est cool.

Par contre à un moment "un problème sérieux a été trouvé, écran bleu avec texte et dans la même seconde mon ordi a redémarré tt seul. Décidement c'est des trucs qu'il ne m'avait jamais fait....

Par contre encore, j'ai tjrs de manière intempestive un "www.web-search.com" qui s'intercalle dans certaines de mes recherches sur internet sans jamais arriver sur le site recherché et qui me laisse sur une page blanche.Généralement, cela n'apparrait jamais sur les deuxièmes tentatives ( je ne sais pas si c'est clair, en tous cas cela est commun aux virus détectés la semaine dernière car jamais vu avant ) ....


Logfile of HijackThis v1.99.1
Scan saved at 14:08:34, on 06/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {38C4AC06-914B-4452-92FA-3C630016AB77} - c:\windows\system32\cryptextf.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
O2 - BHO: (no name) - {D935B3AA-08A7-437E-B28A-9DE607F24056} - C:\WINDOWS\system32\dbnmpntwi.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - https://www.f-secure.com/en/home/support
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: tt - C:\WINDOWS\
O20 - Winlogon Notify: utwqwwgr - C:\WINDOWS\SYSTEM32\cryptextf.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

A bientôt merci

Machupichu · Answer

J'en profite pour faire part de tt ce qui est louche : petit triangle jaune " !" en bas à droite qui me fait part d'une erreure système ou dysfonctionneme,t et me propose de télécharger un logiciel pour scanner et nettoyer....c'est tt nouveau également.

Voilà pour info, merci pour la suite ;)

Machupichu · Answer

Reu... et je deviens totalement parano avec ce message de Kapersky alors que j'entrais les premières lettres d'un recherche sur Yahoo : 
Kaspersky Internet Security 7.0
"The requested URL http://ww1.gomyron.com/MTE2NDM=/2/2822/ax=1/ed=1/ex=1/_pt13/ is forbidden" expliquant que c'etait un site de fishing etc... mais je n'ai jamais cherché ce site ! cela peut-il être un virus qui tente seul de se connecter ?

Surtout que j'ai justement fait pour la première fois hier un achat en ligne sur amazon.fr

D'avance merci de garder patience avec ce genre de questions ;)

a+

Richard

Darckiller · Answer

Ouvre le logiciel HijackThis et coche les ligne suivantes, puis fais FIX dessus:

O2 - BHO: (no name) - {38C4AC06-914B-4452-92FA-3C630016AB77} - c:\windows\system32\cryptextf.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
O2 - BHO: (no name) - {D935B3AA-08A7-437E-B28A-9DE607F24056} - C:\WINDOWS\system32\dbnmpntwi.dll
O20 - Winlogon Notify: tt - C:\WINDOWS\
O20 - Winlogon Notify: utwqwwgr - C:\WINDOWS\SYSTEM32\cryptextf.dll



MAIS LOL ! C'est bien la première fois qu'un PC est infecté pendant que je le désinfecte (pas le même type d'infection)!

En effet, ton PC a été nettoyeé des TROJANS de type W32 qui sévissaient selon ton problèmes de départ;
cependant, des pirates viennent juste d'infecté ton PC de cette manière:

Tu es victimes de détournement du fichier Host (une variantes de CoolWebSearch (quel saleté celui-là)), 
de détournement d'Internet Explorer (Pourquoi tu n'as pas la version 7.0 qui est beaucoup plus sécurisée et pratique ? ), 
d'infection par des logicile publicictaires (Adwares), certainement aussi de spywares; 
je parie que ta page d'accueil Internet à aussi été changée. 

Concours de circonstances heureux vu que je m'occupe de ton PC en ce moment.

 
/!\ NE TELECHARGE SURTOUT PAS CE GENRE DE LOGICIELS NEFASTES: CE SONT DES "ROGUES" /!\

Certains logiciels malveillants prennent la forme d'antivirus, d'antispyware ou d'outils de nettoyage de disque et tentent d'abuser des utilisateurs néophytes pour s'incruster sur leur machine. Dans la lignée de VundoFix, RogueRemover permet de se débarrasser de ces pseudo logiciels que l'on appelle « rogue ».
Il existe d'innombrables faux utilitaires de sécurité agissant en véritables chevaux de Troie introduisant un ou plusieurs parasites, espionnant, installant des failles de sécurité comme des backdoor, des dialers, des downloaders etc. ...


On va donc devoir procéder à une nouvelle éradication; suis ma démarche:

Refais Spybot S&D 1.51 (https://www.safer-networking.org/download/ ), 
Ad-Aware (http://www.lavasoftusa.com/products/ad_aware_free.php ) 
et A-Squared Free 3.0 (https://www.emsisoft.com/fr/ ),
installe chacun de ces antispywares, 
mets à jour chacun d'eux, 
puis fais un scan minutieux et complet de ton PC avec chacun d'eux, 
et supprime les problèmes qui vont s'affichés.


-Tu télécharges SDFix (http://mickael.barroux.free.fr/securite/sdfix.php ),
 suis scrupuleusement  la procédure du site,
 copie et colle le rapport dans un nouveau message.
 Ce programme va nettoyer certains fichiers sensibles scusceptibles d'être infectés (le fichier Host notamment) et certaines DLL néfastes (fichiers librairie).


-Tu télécharges Clean et suis le guide de la page:
 ( http://mickael.barroux.free.fr/securite/clean.php )
Poste le rapport obtenu.


-Tu télécharges RogueRemover ( https://www.clubic.com/telecharger-fiche28630-rogueremover-free.html )
Installe le logiciel
fais un scan complet de ton PC,
supprime les problèmes qui vont s'affichés.


-Tu télécharges VundoFix ( http://www.clubic.com/telecharger-fiche25107-vundofix.html )
installes le logiciel
fais un scan complet de ton PC,
supprimes les problèmes qui vont s'afficher.



Refais CCleaner (https://filehippo.com/download_ccleaner/ ) la dernière version est celle juste à côté de la flèche verte,
installe le sur ton PC (lors de l'installation, au début, décoche la case Yahoo! mettant en place une barre d'outils).
Clique sur l'icône "Option" sur le côté gauche,
puis clique sur le bouton "Propriétés",
ne coche que la case "Effacement sécurisé du fichier (lent)",
puis dans le menu déroulant en dessous sélectionne "Effacement type NSA (7 passages)".
Clique maintenant sur le bouton "Avancé",
ne coche que la case "Enregistrer toutes les propriétés du fichier Ini".
Clique sur l'icône "Registre" sur le côté droit (petits cubes bleus),
coche la case à côté de "Intégrité du registre" (en bleu),
puis clique sur la touche "Chercher les erreurs" en bas à gauche,
une fois la barre du haut verte à 100 %, la recherche est terminée,
clique sur la touche "Réparer les erreurs sélectionnées" en bas à droite.
Clique ensuite sur l'icône "Nettoyeur" sur le côté droit (le pinceau),
coche toutes cases des onglets "Windows" et "Application",
clique sur le bouton "Analyse" en bas à gauche,
une fois la barre du haut verte à 100 %, l'analyse est terminée,
clique sur le bouton "Lancer le nettoyage" en bas à droite.



-Tu désactives la Restauration du système Windows: 
Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "Restauration du système" -> coche la case "Désactivé la restauration du système"
-> Clique sur le bouton "Appliquer" en bas -> Clique sur le bouton "Ok" en bas. 
En effet, certains virus se servent délibérément de la restauration du système afin de pouvoir se réactiver suite à une suppression.


-Tu réactives la Restauration du système, un outils utile de Windows:
Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "Restauration du système" -> Décoche la case "Désactivé la restauration du système"
-> Clique sur le bouton "Appliquer" en bas -> Clique sur le bouton "Ok" en bas. 


-Tu télécharges SpywareBlaster de Javacool Software (http://www.brightfort.com/spywareblaster.html ),
installe le sur ton PC,
mets le à jour en cliquant sur "Updates" dans le menu sur la colonne bleue à gauche,
clique sur le bouton "Check for Updates" en bas,
active la protection en cliquant sur "Enable All Protection" en bas dans le menu "Quick Tasks". 
Ce logiciel va empêcher les script malvaillants et les sites malwares d'attaquer ton PC en vaccinant ton disque dur et ton navigateur web. Il n'agit pas en temps réel et il n'a pas de scan.  


Voilà ;) bon courage !

Machupichu · Answer

Salut, effectivement j'enchaine les galères....

J'ai fait les scans anti-spyware et voici le SDFix : 

SDFix: Version 1.114

Run by RICARDO on 07/11/2007 at 19:04

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\RICARDO\Bureau\SDFix\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-07 19:10:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Neuf\Kit\9diags.exe"="C:\Program Files\Neuf\Kit\9diags.exe:*:Enabled:Etat de votre connexion"
"C:\Program Files\Pack Securite\FSGUI\fsavgui.exe"="C:\Program Files\Pack Securite\FSGUI\fsavgui.exe:*:Enabled:Ouvrir Pack S‚curit‚"
"C:\Program Files\Neuf\Kit\9mail.exe"="C:\Program Files\Neuf\Kit\9mail.exe:*:Enabled:Assistant de messagerie"
"C:\Program Files\Adobe\Photoshop Album Edition D‚couverte\3.0\Apps\Photoshop Album Starter Edition.exe"="C:\Program Files\Adobe\Photoshop Album Edition D‚couverte\3.0\Apps\Photoshop Album Starter Edition.exe:*:Enabled:Adobe Photoshop Album Edition D‚couverte 3.0"
"C:\Program Files\Nero\Nero8\Nero Home\NeroHome.exe"="C:\Program Files\Nero\Nero8\Nero Home\NeroHome.exe:*:Enabled:Nero Home"
"C:\WINDOWS\system32\1b27t.exe"="C:\WINDOWS\system32\1b27t.exe:*:Disabled:1b27t"
"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe:*:Enabled:Kaspersky Anti-Virus"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------


Files with Hidden Attributes:

Fri  9 Mar 2007             5 A.SH. --- "C:\WINDOWS\system32\cffecdbacd3_d.dll"

Finished!

Machupichu · Answer

Rapport de Clean


 07/11/2007 a 19:25:33,96 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND 
 
*** Recherche des fichiers dans C:\Program Files 
"C:\Program Files\AskTBar\" FOUND 
"C:\Program Files\Microsoft Security Adviser\" FOUND 
*** Fin du rapport !

Machupichu · Answer

Kapersky me met en garde d'une application I.Exlorer dont le destinataire est : http//alphase.net/resume.htm ?
Je refuse, I.E. ferme.... dois-je laisser faire cette application ?

Merci......J'EN PEUX PLUS !!! ;)

Machupichu · Answer

"Par contre encore, j'ai tjrs de manière intempestive un "www.web-search.com" qui s'intercalle dans certaines de mes recherches sur internet sans jamais arriver sur le site recherché et qui me laisse sur une page blanche.Généralement, cela n'apparrait jamais sur les deuxièmes tentatives ( je ne sais pas si c'est clair, en tous cas cela est commun aux virus détectés la semaine dernière car jamais vu avant ) .... "

EN FAIT, c'est "search-daily.com", je viens de l'avoir encore

Machupichu · Answer

Bon bah j'ai tout fait comme tu as dis, j'ai juste pas trop compris le coup de "désactiver la restauration système" ? On fait rien entre les deux manip et ca fait qlque chose ?
Et puis le "mode catégorie" je sais pas, moi c'est directement > PANNEAU DE CONFIG >SYSTEME>onglet "rest...."

Enfin voilà , mais comme je t'ai dit, j'ai encore eu le "search-daily.com" tout à l' heure....

A+ , merci et Bonne soirée, 

Richard

Machupichu · Answer

Bonojur, j'ai tjrs des problèmes avec Explorer.EXE ainsi que des avertissements de sécurité anti-spywares....POUR INFO !!

Merci
a bientôt

Richard

Darckiller · Answer

Salut,
fais ceci pour désinstaller Web-Search:

Uninstall Instructions: 
To uninstall Web Search plugin 
please go to Démarrer -> Paneau de configuration -> Modififer/Supprimer des programmes -> ADD/Remove Programs and Uninstall SBSoft 
or download the removal file: http://www.web--search.com/uninstall/remove.exe .


Un truc très important Machupichu: 

change Internet Explorer 6.0 pour la version 7.0 mise  à jour 

Ceci comblera de nombreuses failles de sécurité.


Enregistrer la page web compléte sous Internet Explorer comme ceci : 

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. 
Une partie de la désinfection se déroulera en mode sans échec. 


1/Télécharge puis installe   https://www.avg.com/en-ww/free-antivirus-download 

Une fois AVG AS lancé, clique sur Mise à jour 
Ferme le programme. 


2/Démarre en mode sans échec:  http://cybersecurite.xooit.com/t88-Demarrer-en-Mode-sans-echec.htm#665 


3/Lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

O2 - BHO: (no name) - {38C4AC06-914B-4452-92FA-3C630016AB77} - c:\windows\system32\cryptextf.dll 
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing) 
O2 - BHO: (no name) - {D935B3AA-08A7-437E-B28A-9DE607F24056} - C:\WINDOWS\system32\dbnmpntwi.dll 
O20 - Winlogon Notify: tt - C:\WINDOWS\ 
O20 - Winlogon Notify: utwqwwgr - C:\WINDOWS\SYSTEM32\cryptextf.dll 



6/ Relance AVG AS puis choisis l'onglet Analyse 
Puis l'onglet Paramètres 
Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine 
Reclique sur l'onglet Analyse puis réalise une Analyse complète du système 

Si un fichier infecté est détecté en fin d'analyse 
Clique sur Appliquer toutes les actions 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous 
Enregistre ce fichier texte sur ton bureau 

7/Redémarre en mode normal 

8/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.




-Tu télécharges ComboFix       
( http://download.bleepingcomputer.com/sUBs/ComboFix.exe )
 enregistres le sur ton Bureau
 cliques sur combofix.exe ( le .exe peut ne pas apparaitre ).
 Pour démarrer , tape 1 puis valide , attend la fin du scan
 Copie / Colle le rapport obtenu.
 Tu peux aussi trouver ce rapport ici : C:\Combofix.txt

Machupichu · Answer

Salut Darkiller ;)

 comme je t'ai dit avec mon XP d'origine inconnue j'ai tjrs craint avoir des ennuis et j'ai désactivé touts les mises à jours de windows.
Est-ce que je peux le faire sans crainte ? ( télécharger IE 7 )


Et puis la ensuite je ne sais pas de quoi tu parles, de quelle page web ?  > "Enregistrer la page web compléte sous Internet Explorer comme ceci : 

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. 
Une partie de la désinfection se déroulera en mode sans échec. " ?? je ne sais pas de quoi on parle !!!


a bientôt

Ricardo

Machupichu · Answer

Pfiuuu... j'ai plein d'application Explorer.EXE  qui tentent d'envoyer des données à l'adresse suivante : http//alphase.net/ Payroll.htm

Kesseke c'est ? J'authorise ou pas ?

ARGHhhhhh !!!!!

Machupichu · Answer

Bien , je te fait part de tout ce que je trouve louche.... : Toujours des tentatives d'applications vers http//alphase.net/poker.htm....

En installant IE 7, j'ai authorisé des applications nouvelles en rapport avec EXPLORER.EXE "modifié", je nage dans l'incertitude....


Et puis, pour"web-search.com" j'ai fait la manip mais j'ai le même problème avec "search-daily.com"


Voila, je me suis arrêté là ou je n'ai pas compris ( précedent message ) 

Merci à toi

Ricardo

Darckiller · Answer

Comme je te l'ai déjà dit:

Si tu "ne sais pas d'où vient ton XP", tu peux avoir une version piratée, qui bien souvent fonctionnent grace à des malwares; 
si c'est le cas, je ne peux rien faire pour toi; en effet, les malwares sont supposé assuré la bonne marche du sytème d'exploitation, ILS FONT PARTIS DU SYSTEME D'EXPLOITATION LUI-MEME DANS CE CAS. DONC IMPOSSIBLE DE LES SUPPRIMER EN RENDANT UTILISABLE TON SYSTEME.

Il faut à tous prix faire les mises à jours de sécurité de Windows: c'est très important.
Ton problèmes doit venir de là: les malwares affectent des failles du système d'exploitation, et dans ce cas même le meilleur antivirus ne peut rien faire à part supprimer la menace (et encore); mais cela ne sert à rien; tu seras infecté dans les jours suivants.

IL FAUT QUE TU FASSES TOUTES LES MISES A JOUR POUR QUE L'ON PARTE DEJA SUR UNE BONNE BASE.
IMPOSSIBLE SINON DE DESINFECTER TON PC.
TU DOIS PASSER PAR LA, IL N'Y A PAS D'AUTRES ALTERNATIVES.

Si ton système ne fonctionne pas cela veut dire que tu as une version piratée (et je ne peux rien faire, voir plus haut).




Sinon ceci devrait marcher:

Tu n'aura pas accès au Web en Mode Sans Echec; donc il faut que tu enregistres la page web de mon protocole en faisant ceci:

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. 
Une partie de la désinfection se déroulera en mode sans échec. 
Sinon il faut Internet pour avoir certains programmes.




1/Télécharge puis installe ( https://www.avg.com/en-ww/free-antivirus-download ) 

Une fois AVG AS lancé, clique sur Mise à jour 
Ferme le programme. 


2/Démarre en mode sans échec ( http://cybersecurite.xooit.com/t88-Demarrer-en-Mode-sans-echec.htm#665 ) 


3/Lance hijackthis en cliquant sur do a scan system only et coche ces lignes: 

O2 - BHO: (no name) - {38C4AC06-914B-4452-92FA-3C630016AB77} - c:\windows\system32\cryptextf.dll 
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing) 
O2 - BHO: (no name) - {D935B3AA-08A7-437E-B28A-9DE607F24056} - C:\WINDOWS\system32\dbnmpntwi.dll 
O20 - Winlogon Notify: tt - C:\WINDOWS\ 
O20 - Winlogon Notify: utwqwwgr - C:\WINDOWS\SYSTEM32\cryptextf.dll 



6/ Relance AVG AS puis choisis l'onglet Analyse 
Puis l'onglet Paramètres 
Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine 
Reclique sur l'onglet Analyse puis réalise une Analyse complète du système 

Si un fichier infecté est détecté en fin d'analyse 
Clique sur Appliquer toutes les actions 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous 
Enregistre ce fichier texte sur ton bureau 

7/Redémarre en mode normal 

8/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis. 




-Tu refais Spybot S&D 1.51 (https://www.safer-networking.org/download/ ), 
Ad-Aware (http://www.lavasoftusa.com/products/ad_aware_free.php ) 
et A-Squared Free 3.0 (https://www.emsisoft.com/fr/ ),
installes chacun de ces antispywares, 
mets à jour chacun d'eux, 
puis fais un scan minutieux et complet de ton PC avec chacun d'eux, 
et supprime les problèmes qui vont s'afficher.


-Tu refais SDFix (http://mickael.barroux.free.fr/securite/sdfix.php ),
 suis scrupuleusement  la procédure du site,
 copies et colles le rapport dans un nouveau message.
 Ce programme va nettoyer certains fichiers sensibles scusceptibles d'être infectés (le fichier Host notamment) et certaines DLL néfastes (fichiers librairie).


-Tu refais Clean et suis le guide de la page:
 ( http://mickael.barroux.free.fr/securite/clean.php )
Postes le rapport obtenu.


-Tu refais RogueRemover ( https://www.clubic.com/telecharger-fiche28630-rogueremover-free.html )
installes le logiciel
fais un scan complet de ton PC,
supprimes les problèmes qui vont s'afficher.



-Tu refais VundoFix ( http://www.clubic.com/telecharger-fiche25107-vundofix.html )
installes le logiciel
fais un scan complet de ton PC,
supprimes les problèmes qui vont s'afficher.



-Tu télécharges ComboFix       
( http://download.bleepingcomputer.com/sUBs/ComboFix.exe )
 enregistres le sur ton Bureau
 cliques sur combofix.exe ( le .exe peut ne pas apparaitre ).
 Pour démarrer , tape 1 puis valide , attend la fin du scan
 Copie / Colle le rapport obtenu.
 Tu peux aussi trouver ce rapport ici : C:\Combofix.txt



-Tu refais SmitFraudFix
Télécharge le fichier puis 
suis donc la procédure du site: 
http://siri.urz.free.fr/Fix/SmitfraudFix.php 
Poste le rapport obtenu 



-Tu fais LSPFix ( https://jesses.pagesperso-orange.fr/Docs/Logiciels/LSPFix.htm )
Télécharges le fichier.
suis la procédure du site.



-Tu fais Brute Force Uninstaller ( https://jesses.pagesperso-orange.fr/Docs/Logiciels/BFU.htm )
Télécharge le fichier.
Suis la procédure du site 



-Tu refais CCleaner (https://filehippo.com/download_ccleaner/ ) la dernière version est celle juste à côté de la flèche verte,
installes le sur ton PC (lors de l'installation, au début, décoche la case Yahoo! mettant en place une barre d'outils).
Cliques sur l'icône "Option" sur le côté gauche,
puis cliques sur le bouton "Propriétés",
ne coches que la case "Effacement sécurisé du fichier (lent)",
puis dans le menu déroulant en dessous sélectionnes "Effacement type NSA (7 passages)".
Cliques maintenant sur le bouton "Avancé",
ne coches que la case "Enregistrer toutes les propriétés du fichier Ini".
Cliques sur l'icône "Registre" sur le côté droit (petits cubes bleus),
coches la case à côté de "Intégrité du registre" (en bleu),
puis cliques sur la touche "Chercher les erreurs" en bas à gauche,
une fois la barre du haut verte à 100 %, la recherche est terminée,
cliques sur la touche "Réparer les erreurs sélectionnées" en bas à droite.
Cliques ensuite sur l'icône "Nettoyeur" sur le côté droit (le pinceau),
coches toutes cases des onglets "Windows" et "Application",
cliques sur le bouton "Analyse" en bas à gauche,
une fois la barre du haut verte à 100 %, l'analyse est terminée,
cliques sur le bouton "Lancer le nettoyage" en bas à droite.


Les saletés devraient avoir leur compte avec ces manipulations.



Voilà

Machupichu · Answer

Salut Darkiller, 

J'avais disparu.... BECAUSE plus rien ne fonctionne !!!!

Après le dernier scan AVG AS en mode ss échec, pbs avec avg.exe, avec Kapersky (plus aucune application ne fonctionnait ) bugg total, plus d'acces internet etc...

En fait, mon ordi a perdu mon adresse IP et toutes les clefs de ma connexion, je les ai rentrées à nouveau avec mon opérateur mais l'ordi ne les retins pas. D'après eux Windows a pris une claque et je suis d'accord ca déconne sur plein de trucs.

En fait j'attend un cd windows pour ré initialiser tutti

Voili Voilà, merci de ton aide et grand mystère sur ce qui c'est passé, je gardes le sentiment d'avoir respecté à la lettre tes instructions....


En tous cas merci à toi et à la prochaine

Richard

Darckiller · Answer

Ok ba bon courage alors avec ton nouveau Windows !

Pense à bien le sécurisé: Antivirus + Antispyware + Parfeu (fire wall) + CCleaner est un minimum !

Voilà :)

Machupichu · Answer

Salut, juste un mot pour te dire que je continu en galère....EN FAIT on m'a filé WINLSD 3.5 et je ne peux faire l'installation car j'ai un message qu m'indique que l'installation ne peut se poursuivre car "aucun disque dur n'est connecté" !!!!!!

Mon neveu qui fait un IUT d'informatique en est tombé de l'armoire !!! donc je vais renvoyé mon portable chez HP because cela devient vraiment hors de mes compétences !!!

Je ne sais vraiment pas ce qui s'est passé après ce scan AVG AS....

a la prochaine, j'éspère pas tt de suite

rICHARD

Machupichu · Answer

Salut, en fait c'est règlé, y'avait windows XP depuis le début sur mon ordi, sur une "partition cachée" du disque dur si j'ai bien compris, car en fait j'y comprends rien !!!! mais ca parche à nouveau !!!

A+

Win32.Bzub.btx

34 réponses

Discussions similaires

Newsletters