infection malware wsctf.exe

A l'aide!!

Mon ordinateur est infecte par l'executable "wsctf.exe".
Cela fait travailler la CPU en permanence a 80-90% et ralentit le fonctionnement des autres programmes. Impossible d'arreter ce programme, on peut voir dans le gestionnaire des taches qu'il demarre et s'arrete sans arret...

J'ai suivi la procedure des "premiers gestes pour desinfecter" de votre site, cf les rapports joints.

Je ne peux pas supprimer le fichier wsctf.exe (il se trouve dans C:\Windows\system32), meme quand j'ouvre une session Windows en mode sans echec car le fichier est en cours d'utilisation.

En esperant que vous pourrez m'aider...
Salutations!

Vianney

Bonjour videc,

Bienvenue sur Futura. Cette infection se propage sur les disques amovibles (clé usb, disquette etc, disque dur externe). Il faudra donc penser à nettoyer et scanner tous ces supports que tu aurais pu connecter à ton pc.

1. Télécharge AVG Anti-Spyware ( http://free.grisoft.com/softw/70free/setup/avgas-setup-7.5.0.50.exe)
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

2. Télécharge Flash Disinfector de sUBs (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe)

3. Télécharge aussi tel.xls.exe_Remover de sUBs (http://www.techsupportforum.com/sectools/sUBs/tel.xls.exe_Remover.exe)


4. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.


5. Passe tel.xls.exe_Remover. Execute le et laisse toi guider.

6. Passe Flash Disinfector. Execute le aussi et laisse toi guider.

7. Du mode Sans Échec, lance AVG Anti-Spyware,
Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

8. Toujours en mode sans échec. Lance Hijackthis, clique sur Do a system scan only, et coche les lignes suivantes ;

F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER .EXE
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

Clique sur Fix Checked.

9. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés
Décocher la case : Masquer les extensions des fichiers dont le type est connu
Décocher la case : Masquer les fichiers protégés du système d'exploitation
cliquer sur "Appliquer"
cliquer sur le bouton "Appliquer à tous les dossiers" / OK


10. Supprime les fichiers suivants :

C:\WINDOWS\System32\EXPLORER.e xe (et surtout pas C:\WINDOWS\explorer.exe !!)

Poste moi le rapport de AVG-AS, ainsi qu'un nouveau rapport Hijackthis, en pièces jointes.


Tu as deux antivirus, Antivir et Norton, c'est un de trop (ou alors Antivir s'est mal désinstallé).


Bonne journée
Cyrrus

Cyrrus,

Merci beaucoup pour ta reponse rapide, surtout un dimanche!
Je fais toutes ces manips et je t'envoie les rapports.

Vianney

Ca y est, j'ai termine les manips comme indique dans ton message, je te joins les rapports.

Il y a une difference: je n'ai pas trouve la ligne
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
lorsque j'ai lance le scan avec Hijackthis, ni le fichier "
C:\WINDOWS\System32\EXPLORER.e xe".

Le probleme semble avoir disparu (merci!! la CPU tourne normalement et je n'ai plus le sablier en permanence) mais je reste inquiet puisqu'il y a toujours un processus nomme wsctf.exe dans le gestionnaire des taches. Es-ce normal??

Pour les antivirus, tu conseilles d'en supprimer un?

Merci encore pour tes instructions super claires pour un novice comme moi!

Vianney

Re,

Le rapport Hijackhtis a apparemment été fait en mode sans échec. Fais le en mode normal pour que je puisse voir ce qui tourne en ce moment.

Cyrrus

Desole! voici le hijackthis en mode normal.

Vianney

Bonjour videc,

1. Télécharge OTMoveIt de OldTimer (http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe).

Sauvegarde le sur ton Bureau.
Double-Clique sur OTMoveIt.exe pour le lancer.
Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):


C:\WINDOWS\system32\wsctf.exe
C:\WINDOWS\system32\EXPLORER.E XE


Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
Clique sur le boutton rouge Moveit!.
Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse


2. Lance Hijackthis et coche les lignes suivantes (tu dois les voir) :

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

Clique sur Fix Checked.

3. Repasse Flash Disinfector, sur tous te ssupports amovibles.

Poste un nouveau rapport Hijackthis en pièces jointes, ainsi que le rapport d'OTMoveit.


Bonne journée
Cyrrus

Cyrrus,

J'ai repris la tentative d'elimination du malware en suivant tes instructions sans inconvenient.
Ci-joint les rapports de moveit et hijackthis.

wsctf.exe semble toujours actif dans le gestionnaire des taches...

Merci, a+

Vianney

Bonsoir videc,

C'est étonnant. Apparemment les fix que je t'ai fait utilisé ne vise pas tout. On va vérifier çà :


1. Télécharge OTMoveIt de OldTimer (http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe).

Sauvegarde le sur ton Bureau.
Double-Clique sur OTMoveIt.exe pour le lancer.
Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):


C:\WINDOWS\system32\wsctf.exe
C:\autorun.inf


Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
Clique sur le boutton rouge Moveit!.
Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

2. Repasse tel.xls.exe Remover et flashDisinfector.

3. Fais un scan en ligne Kaspersky (http://webscanner.kaspersky.fr/) avec Internet Explorer :
Clique sur http://pictures.kaspersky.fr/bouton-scann1.jpg
Clique maintenant sur J'accepte.
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Clique sur Suivant.
Choisis par la suite l'analyse du Poste de travail
Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.
AIDE : Configurer le contrôle des ActiveX (http://www.inoculer.com/activex.php3)
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

4. Refais un rapport Hijackthis.

Poste moi le rapport de moveit, le rapport de Kaspersky, un nouveau rapport Hijackthis.

Bonne soirée
Cyrrus

Hello maitre Cyrrus,

Voici les rapports suite aux dernieres manips:
- moveit
- kaspersky
- hijackthis

De mon cote tout semble fonctionner normalement! :fs:

J'attends tes commentaires, bonne journee!

Vianney

Bonsoir videc,

Ca s'annonce bien. Supprime les backups de OTMoveit. Pour cela, lance otmoveit et clique sur Clean up.

Refais un rapport option 1 de Diaghelp et poste le en pièces jointes.

Bonne soirée
Cyrrus
PS : maitre Cyrrus

Je ne suis maître de rien du tout ;-U

Bonjour Cyrrus,

Voici le rapport de Diaghelp.
J'espere qu'il n'y a rien d'autre a signaler! Si ce n'est pas le cas, je reprendrai les manips dans une semaine.

Merci pour ton aide precieuse, salutations!

Vianney

voici vraiment le rapport...

Bonsoir videc,

Désolé de l'absence, j'étais très pris.

Le rapport est propre. Tu peux te considérer comme clean. N'oublie pas de vérifier tes disques amovibles (disques dur externe, clé usb etc), l'infection se propageant dessus. Pour cela vérifie s'il n'y a pas de fichier autorun.inf présent sur le disque amovible (affiche les fichiers/dossiers cachés pou cela).

Lis bien le dossier de prevention (http://www.futura-sciences.com/comprendre/d/dossier627-1.php) pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Bonne soirée
Cyrrus

Bonsoir Cyrrus,

Je reprends la conversation un peu en retard aussi! Ca y est, j'ai pris les precautions necessaires indiquees dans le dossier prevention et efface le fichier autorun.inf de mon disque dur externe, tout en croisant les doigts...

Un grand merci pour ton aide des plus efficaces, tu m'as enleve une bonne epine du pied!

Bonne continuation a toi et a toute l'equipe!

Vianney