cafard, malware-gen, privacy danger et autres Fermé

Question

cafards qui grignottent l'ecran, BV:malware-gen, privacy_danger, et perte des onglets "bureau" et "ecran de veille" dans les propriétés de l'affichage ( clic droit sur le bureau/propriétés )

Bonjour,

je me suis chopé semble-t-il une belle merde. voici la chronologie du truc, et ce que j'ai deja fait :

- en surfant, avast m'averti d'un virus ( pas noté le nom sur le coup ). je clique sur "supprimer", puis sur "suprimer définitivement" en ayant coché la case "supprimer au prochain démarage si besoin" . + une deuxieme fois immediatement.

- s'ouvre un popup qui semble effectuer un scan et affiche des virus "trouvés" ... bref ca me dit que je suis pas protégé et que je dois installer une protection ( je suis renvoyé sur un site portant le nom de "malware protection 2008" ou un nom approchant ( pas noté non plus, pensant que c'etait juste de la pub ) je ferme la fenetre, et tout le reste

- mon bureau a perdu son fond d'ecran habituel , a la place j'ai un fond bleu, avec un logo-message pour se "proteger des virus" ... et des cafards apparaissent et grignottent l'ecran . ils disparaissent en bougeant la souris. 

- "aggressif comme pub, ca me change mon fond d'ecran et met une veille qui fait peur" je me dis. là je clique droit sur le bureau pour aller virer la veille et remettre mon fond d'ecran mais je n'ai plus les 2 onglets qui le permettent. plus que 3 onglets sur les 5 habituels

- je vais dans mes images et utilise le clic droit "definir comme papier peint", ça ça marche

- nouveau popup intempestif facon "gestionnaire d'antivirus" qui me dit que je suis pas protégé blabla" ... et mon bureau change encore : cette fois c'est un fond rouge avec logo et texte "your privacy is in danger, download privacy protection software now " ... et tout l'ecran n'est plus qu'un vaste link vers un soit disant "antivirus 2008 pro" qui me simule un nouveau scan, affiche une fenetre de resultat qui est elle meme un lien vers un site pour installer un truc. le nouveau fond d'ecran etant un lien geant, je n'ai bien sur plus du tout acces a mes propriété d'affichage.

je lance un scan d'avast : il me trouve 
C:\DOCUME~1\ARGAL~1\LOCALS~1\Temp\install-privacy-danger.bat
BV:Malware-gen

je le supprime
je supprime egalement le dossier C:\windows\privacy_danger qui contient un "index.html" et un dossier images comprenant "capt.gif" "danger.jpeg" "down.gif" et "spacer.gif" ... tout cela servant a creer ce fond d'ecran rouge cliquable

je redémarre

message d'erreur "ne trouve pas c:/windows/privacy_danger... " => bien, ne peut plus me le remettre. mais du coup j'ai un fond blanc et je peux toujours pas cliquer, gauche ou droite

avast me re-signale le malware-gen. un truc s'est donc mis au demarage pour le re-generer ... ( je le resupprime )

je trouve dans ma liste de démarage en msconfig un "lphc1skj0eed9.exe" situé dans mon system32. je le decoche. je redémarre en mode sans echec, fait une recherche avec ce nom ( sans l'extension ) : je trouve un "blphc1...." qui est un ecran de veille ( les cafards, il porte d'ailleur l'icone d'un cafard ), ainsi qu'une image et un executable a ce nom : je les vire ! 

je redémarre en normal. plus de cafards, mais en msconfig ca apparait toujours dans le liste alors qu'il existe plus ( mais il est toujours décoché ... coment on le vire de la liste ? ) et avast continue a me signaler le malware-gen "install-privacy-danger.dat ... c'est donc pas ça qui le génère ( j'ai rien d'autre d'inconnu dans ma liste de démarage )

j'ai de plus regulierement des popup comme precedemment mais cette fois pour "systemdefender", meme principe que les autres.

...

en attendant de faire tout ca j'en ai profité pour mettre a jour mon windows ( je suis passé en SP3 )

donc mes 2 questions :

- coment faire pour trouver ( et virer surtout ) le truc qui me re-génère le malware-gen / install-privacy-danger.bat a chaque démarage ( j'ai pas été voir dans ctrl-alt-supr / processus voir si il y a des trucs bizares parceque j'ose pas trop y toucher ) ?

- coment faire en sorte une fois cela fait d'avoir a nouveau mes 5 onglets en "propriétés d'affichage" / récupérer l'onglet "bureau" et l'onglet "ecran de veille" si le fait de virer le virus ne me les remet pas automatiquement ?

merci d'avance.

amd64 · Answer

slt  
vas dans C:
ensuite dans : programes files
ensuite dans : system 32
trouve le fichier avec un gros cafard noir et sup le
ensuite vide la corbeille
ensuite lance ton anti spy et remet ton fond ecran

amd64 · Answer

c'est sa
si tu a virer ces fichier tu ne doit plus avoir de cafard ?

amd64 · Answer

ET SYSTEM 32  est dans C:     
fichier : WINDOWS
excuse je me suis tromper tout a l'heure

argaïl · Answer

effectivement je n'ai plus les cafards ni le premier fond d'ecran bleu 

MAIS

j'ai toujours le C:\DOCUME~1\ARGAL~1\LOCALS~1\Temp\install-privacy-danger.bat ( BV:Malware-gen ) qui se regenere a chaque démarage, qui cherche a me carrer le fond d'ecran rouge cliquable ( il peut plus vu que j'ai virer les fichiers, il me laisse un ecran vide a la place ) au demarage et regulierement en cours d'utilisation ( message d'arreur d'install de l'ecran rouge ), et qui me fait pop des conneries de fenetres de faux antivirus de temps a autres et qui vient de me re-generer sans avoir redemaré le virus ( avast viens de le retrouver tout seul ).

j'ai donc viré certains effets secondaires, mais pas la source


ps : ad-aware n'a trouvé que quelques cookies ... rien de changé

amd64 · Answer

ok 
telecharge sssa : https://www.generation-nt.com/telecharger-malwarebytes-anti-malware-agents-malveillants-actualite-47342.html

met a jour si besoin et scan

argaïl · Answer

hier soir en laissant mon pc allumé pendant que je regardais un film, mon fond d'ecran est réaparu, mais en cliquant droit ca a rechargé la tentative d'install de l'ecran rouge , les popup ... 

en rallumant mon pc ce soir apres donc pres de 18h d'extinction, pas de popup, pas d'alerte de mon antivirus, pas de fond d'ecran bizare mais le mien cliquable droit et tout, mais toujours pas recupéré mes onglets de parametres d'affichage ... sans rien faire juste avec du repos ... strange hein !

pour ce qui est du logiciel que tu me cite : c'est fait ! ( ô coincidence en cherchant des infos sur le net au boulot -ouais c mal je sais- , j'etais tombé sur la page de ce site où il parlent de ce logiciel et où ils donnent 2 tutoriels pour bien faire ) je viens de le DL et de l'executer

voici donc mon log final :

Malwarebytes' Anti-Malware 1.16
Version de la base de données: 845

18:36:23 10/06/2008
mbam-log-6-10-2008 (18-36-23).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 139491
Temps écoulé: 1 hour(s), 52 minute(s), 8 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{1150f4c7-7396-4cea-b963-07fa0f62344c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c5da9ce1-22db-4f02-b4cd-c476a454847e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{cf9bab30-8e3c-4d10-b8c1-428b16a38d69} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT
mwegbsf.bqtv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT
mwegbsf.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo (Trojan.Fakealert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{cf9bab30-8e3c-4d10-b8c1-428b16a38d69} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{01B830AE-237E-4952-AB9F-803D6FFD5045}\RP0\A0000002.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{01B830AE-237E-4952-AB9F-803D6FFD5045}\RP0\A0000003.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\lvuvc.hs (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\xbqmfsed.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS
mwegbsf.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\adgpfoxs.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Argaïl\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Argaïl\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Argaïl\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Argaïl\Local Settings\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

résultat après redémarage : pas d'alerte virus, pas de fond d'ecran space, pas de message d'erreur d'instal du fond d'ecran rouge, pas de popup ... et tadaaaa ... clic droit sur le bureau, propriétés de l'afichage, mes 2 onglets perdus sont "reviendus" :)))))

Victoire !

le probleme semble résolu ! ( par acquis de conscioence je m'en vais me refaire un petit tour d'ad-aware et d'antivirus histoire de )

un grand merci à toi !

argaïl · Answer

euh coment on met le tag "résolu" sur le sujet ? 

ps au fait, dans malwarebytes, j'ai supprimé tout ce qui était en quarantaine, j'ai pas fait de connerie c'est bon ?

argaïl · Answer

erf erf erf, apres scan, mon anti-virus m'a trouvé

C:\Documents and Settings\Argaïl\Local Settings\Temp\desktop_background.zip\install-privacy-danger.bat  => supression du fichier 

je suis allé dans ce dossier temp et ai totalement sucré ce "desktop_background.zip" ( sans doute l'archive qui servait de base a la regeneration )

dans le meme dossier "temp" , il y avait aussi un autre exemplaire du dossier "privacy danger" contenant la page html et les fichiers images que j'avais trouvé sous "windows" ( voir mon premier post ) : supprimé aussi

apres redemarage, ces fichiers ne se sont pas remis ... donc ca a l'air bon

n'empeche un truc bizare, au demarage pendant le chargement des icones je vois pendant 1/4 de sec comme des bribes ( un bout de barre haute, un bord , pas le temps de voir plus ) d'une fenetre s'ouvrir avant de disparaitre ( truc qui se lance en arriere plan ou bien un reste du probleme qui tente de se lancer mais qui avec tout ce qui a ete viré n'a plus le materiel pour le faire ? )

plus rien à l'antivirus

bref, j'ai plus de probleme à l'utilisation de mon pc, mais je me demande s'il reste pas des residus / reliquats / déchets ( inoffensifs seuls ) ...

Cafard, malware-gen, privacy danger et autres

8 réponses

Discussions similaires

Newsletters