Un coup de pouce serait grandement apprécié!

[Gilbert_Godasse]

Bonjour!
J'ai eu récemment quelques petits problèmes de malwares sur mon PC et j'ai recu une aide très appréciée par certains membres de ce forum.

Je suis présentement en train de faire le "ménage" sur l'ordinateur de ma petite soeur, qui est fortement infecté par plusieurs malwares (il est énormément lent, il y a plusieurs bogues sous windows par exemple, je ne peux plus accéder au msconfig via éxécuter du menu démarrer, etc).

J'ai donc suivi la procédure et je joins à ce message les logs de ewido (mode sans échec) et celui de hijackthis.

L'ordinateur de ma soeur est très gravement malade, je suppose qu'il faudra beaucoup de temps et de votre patience pour en venir à bout. Merci de votre soutiens, j'attends de vos nouvelles.

- GG

[Gilbert_Godasse]

PS : Je pars pour le week-end, je ne reviendrai pas ici avant dimanche soir prochain. Vous pouvez me laisser quelques consignes en attendant mon retour, je rafraîchirai le message en temps et lieux.

Merci !

[Cyrrus]

Bonjour Gilbert,

Bonne infection en effet. Je m'occuperai de ce log ce soir, si personne n'est passé avant.

Bonne journée
Cyrrus

[Cyrrus]

Bonjour Gilbert,

Tout d'abord mets hijackthis dans un dossier à lui comme demandé dans la procédure, c'est important !! Ta tite soeur utilise aussi du P2P, avec un windows non à jour, ce qui est...euh....suicidaire.

Assure toi d'avoir accès à tous les fichiers/dossiers cachés (aide : ici


1/ Redémarre en mode sans échec, et lances hijackthis. Coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://mysearchnow.com/passthrough/i...nonce.msn.com/
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = http://www.olellzmwsfnjlqrqm.com/V6c...V3_EBAdFD.html
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page =
O2 - BHO: Proxy Part Drv - {14EE806C-F804-AFFF-03CF-43CE2B0BB44D} - C:\PROGRA~1\ANTIBA~1\support mags.dll
O3 - Toolbar: lies wait - {52361075-C406-8A2A-5FF0-40B6D4EA8C67} - C:\PROGRA~1\ANTIBA~1\support mags.dll
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [Burn bait] C:\PROGRA~1\64 idle curb\VcPureLite.exe
O4 - HKCU\..\Run: [Burn bait] C:\DOCUME~1\ADMINI~1\APPLIC~1\ 64IDLE~1\VcPureLite.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab

Ferme toutes les fenêtres, exceptés hijackthis, et clique sur Fix Checked.

2/ Toujours en mode sans échec, supprime les fichiers/dossiers suivants :

C:\Program Files\ANTIBA~1 (le nom est tronquée et je ne peux pas le deviner, c'est donc Antiba...quelque chose).
C:\Program Files\ISTsvc
C:\Program Files\Messenger Plus! 2 (je lui fait enlever MSNPlus! car c'est lui qui l'a infecté par Lop. Elle pourra le remettre après mais en refusant les sponsors à l'installation).
C:\Program Files\64 idle curb
C:\Documents and settings\Administrateur\Applic ation Data\64 idle curb

3/ Refais un scan complet avec Ewido. Sauvegarde le log à la fin du scan.

4/ Redémarre en mode normal

5/ Repasse CCleaner (fichiers temporaires et erreurs de registre).

6/ Télécharge FxIstbar.exe et lance le en cliquant sur Start.

7/ Poste un nouveau log hijackthis, ainsi que le rapport d'Ewido, le tout en pièces jointes.

J'a vu aussi quelques lignes indiquant une naviguation un peu douteuse :

O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab

Cela me parait un peu bizarre vu que c'est ta petite soeur . Sans doute une redirection...quel naviguateur utilise t-elle (je ne vois pas d'IE) ?

Bonne journée
Cyrrus

PS : Il y a d'autres lignes que je pourrait te faire fixer car elles sont inutiles, on verra ca après.

[Gilbert_Godasse]

Bonjour!
Je viens tout juste de revenir de mes petites vacances, je vais sur le champ m'attaquer aux problèmes sur l'ordinateur.

Elle uitilise en effet IE, puisque firefox ne fonctionne pas sur sa machine (il plante à l'ouverture, probablement un effet des milliards d'infections).

Je vous reviens avec les logs.

[Gilbert_Godasse]

Bon, j'ai fixé tous les items susmentionnés avec hijackthis.

Je n'ai par contre pas trouvé les dossiers suivants :

C:\Program Files\IStsvc
C:\Program Files\Messenger Plus! 2
C:\Documents and settings\Administrateur\Applic ation Data\64 idle curb

Est-ce que ces dossiers auraient pu être supprimés par hijackthis? Même en faisant rechercher sous windows je trouve rien.

J'attends que ewido termine sa tâche et je poste les 2 logs.

[Gilbert_Godasse]

Bon voilà, tout est terminé, je vous mets les 2 rapports.

Tout semble clean, exemp d'infections. Cependant, l'ordinateur est assez lent et il y a un petit bogue : je ne peux pas ouvrir msconfig.

[igor51]

Bonjour,


je laisse Cyrrus qui a commencé à t'aider, mais est-ce que tu as fait le log hijakcthis en mmode sans échec? si c'est le cas, remet en un en mode normale.

Pour ce qui est des dossier, si tu as le pris le soin d'afficher tous les fichiers/dossiers alors ce n'est pas grave.

Voila, attend la suite de la procédure par Cyrrus,

Bonne journée,

Igor

[Cyrrus]

Bonjour Gilbert, bonjour Igor,

Merci à Igor d'être intervenu, le log parait être en mode sans échec, si tu peux confirmer Gilbert ?

Les fichiers infectieux sont partis, reste quelques lignes à fixer pour le mauvais, bien que ce soit moins dangereux. Pour la lenteur, ca ne m'étonne pas trop, vu tout ce qui se lance au démarrage et qui n'est pas nécéssaire. On dégrossira tout çà par la suite.

1/ Lanche Hijackthis en mode sans échec et coche les lignes suivantes :

R3 - Default URLSearchHook is missing
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Program Files\NavExcel\NavHelper\v2.0. 4d\NHelper.dll (file missing)
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll (file missing)
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll (file missing)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:

Fermes toutes les fenêtres, excepté Hijackthis, et clique sur Fix Checked

2/ Redémarre en mode normal et effectue un scan chez Kaspersky :

Fais un scan en ligne avec Kaspersky WebScanner
Sous "Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne". Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer. Poste le rapport qui sera généré stp.

Poste moi en pieces jointes le rapport de Kaspersky ainsi qu'un rapport hijackthis en mode normal.

Bonne journée
Cyrrus

PS : Tu peux sans problème prendre mes "patients" Igor lorsque tu en a envie, cela ne me dérange pas le moins du monde

[Gilbert_Godasse]

Bon! Le scan Kaspersky est en train de rouler.

En attendant, je vais vous faire part d'un autre problème sur la machine. J'essaie de faire les mises à jour Windows sur le site de Windows Update (la clef Windows est valide, pas de problème de ce côté) et j'obtiens une erreur bizarre 0x80246008, "Erreur lors de l'installation du service de transfert intelligent en arrière-plan".

Je suis donc allé surfer sur google pour trouver une solution à ce problème; j'en ai trouvé un paquet, mais aucune ne fonctionne.

Vous avez des suggestions?

[igor51]

Bonsoir,

FAis ceci:
Démarrer, exécuter, tape "services.msc"

choisi le mode étendu

cherche le service suivant:
Service de transfert intelligent en arrière-plan

met le en démarrer et en automatique pour type de démarrage.

bonne soirée,

igor

[Gilbert_Godasse]

Justement, il apparaît pas dans la liste des services, j'avais essayé cette procédure.

---

Bon, j'ai fait rouler Kaspersky et Hijackthis, voici les 2 raports.

Les lignes suivantes réaparaissent à chaque fois que je fait rouler hijackthis, elles ne veulent pas mourir :

O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:

Donc voilà, j'attends vos nouvelles procédures!
Aussi, un coup de main pour régler les mises à jour Windows serait apprécié.

[Cyrrus]

Bonsoir Gilbert,

Grrrr elle commence à me chauffer ces lignes ! Bon comme je n'ai jamais vu de résistance de ce genre auparavant, j'attends la confirmation d'un compère, qui avait trouvé une solution pour un autre cas.

Si tout se passe bien je te posterai la parche à suivre d'ici demain.

Bonne soirée/nuit
Cyrru

[Gilbert_Godasse]

Parfait, j'attends de vos nouvelles!

[Cyrrus]

Re,

Bon on y va, avec un peu d'avance :

1/ Télécharge FixP
Dézippe le contenu de l'archive...

2/ Double clique sur Fix_Protocol_zones_ranges.reg et accepte la fusion.

Redémarre et reposte un log hiajckthis en mode normal.

Cyrrus