Trojan

[invite7f57ffba]

Bonjour! J'ai un gros problème et j'ai besoin d'un avis. Mon ordi est infesté d'un virus Trojan qui est bien ancré dans mon disque dur. suis un peu novice en informatique. Je peux utiliser internet à ma guise mais le virus me bloque plusieurs opérations. Il m'empêche d'effectuer un nettoyage du disque, bloque mon logiciel ad=aware, m'empêche d'entrer dans mon fichier musique(je crois que le problème vient de là). J'ai essayé un antivirus en ligne pour analyser mon ordi et au bout d'un moment il m'a bloqué.

Selon vous, quelle est la marche à suivre et quels fichiers du système sont susceptibles d'être corrompus? Puis-je les détruire? Je ne veux pas réinitialiser tout mon ordi! Merci à l'avance.... Julie
-----

[invite7f57ffba]

Je crois que ce charmant petit virus a une composante Trojan.pns.changer.charger
et j'ai aussi vu sys32/taskdir.exe je ne sais pas si cela peut aider...

[Cyrrus]

Bonsoir Julie,

Effectue je te prie la procedure preliminaire. Poste les rapports en pieces jointes.

Pour l'utilisation d'Ewido, sert toi de cette explication plutot que celle donné par la procédure (cause nouvelle version du logiciel) :

Télécharge la version d'évaluation d'Ewido:
http://www.ewido.net/en/download/
Installe la et mets à jour.

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.
Clique sur Update Now,
attend la fin de cette mise à jour,
puis ferme le programme.

Redémarre en mode Sans Échec
(au démarrage, tapote immédiatement la touche F8), puis tu verras un écran avec choix de démarrages :
choisis Mode sans échec avec les flèches du clavier, puis valide avec Entrée .
Choisis ton compte usuel (et non Administrateur).

Relance Ewido et clique sur Scanner
Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.
Le scan démarre.

A la fin cliquer sur Apply all actions
Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.
Redémarre en mode normal.
poste le rapport dans ta réponse.

Si tu as des questions n'hésite surtout pas, nous sommes là pour çà.

Bonne soirée
Cyrrus

[invite7f57ffba]

Rebonsoir! (chez moi il est 15h25 hihi!!)

ccleaner a bien fonctionné mais n'ai pu envoyé de rapport...dsl!

ewido a bien commencé mais le virus l'a bloqué en cour de route comme il le fait avec tout autre anti-virus et là plus capable de rien faire, je dois le fermer et recommencer mais ça fait toujours la même chose. Cependant il a eu le temps de détecter une 20aine d'objets dont un vidéo mis en quarantaine, et les items suivants: Downloader.Agent.uj, Hijacker.Generic et Downloader.small. aqb.

Il a écrit "Something bad happened in the application.Error diagnostic file saved to Crogram files ewido.err..." Incapable de l'envoyer en pièce jointe.... Suis vraiment embêtée!!!

[A voir en vidéo sur Futura]

[invite7f57ffba]

oh oh! L'objet en quarantaine est : C:/windows/system32/dmfmi.exe de downloader agent

[invite7f57ffba]

Au fait merci beaucoup pour votre aide...juste de m'avoir donné les liens et indications pour tenter d'améliorer mon sort c'est énorme!!! J'apprécie!

[Cyrrus]

Re...bonjour (je sais plus quoi mettre avec ton décalage horaire ),

As tu bien passer Ewido en mode sans échec ??? Je sais que cela parait plus compliqué à faire, mais il n'en est rien, et normalement la bestiole n'est pas active dans ce mode, laissant Ewido bossé tranquillement

Pour les pièces jointes, je ne comprend pas bien, est ce un problème du forum qui n'accepte pas tes rapports, ou est ce que cela vient d'Ewido ?

Bonne...aprem
Cyrrus

u fait merci beaucoup pour votre aide...juste de m'avoir donné les liens et indications pour tenter d'améliorer mon sort c'est énorme!!!

Na, on va tenter de faire mieux que cela

[invite7f57ffba]

thank you very much!!!

Quand je lance ewido et fais F8 rien ne se passe!! Là le suis en train d'essayer un "smart system scan", ce qui fonctionne habituellement. je vais pouvoir enregistrer un rapport et l'envoyer.

Je suis découragée!! Étant infirmière, se retrouver avec des infections informatiques c'est comme ramener du boulot à la maison!!! Je songe sérieusement à tout lâcher pour aller en informatique!! Concilier les deux c'en est trop!!

[invite7f57ffba]

voyons voir si ça fonctionne! hop là!

[Cyrrus]

Re,

Il faut faire F8 au redémarrage, pour avoir acces au menu te permettant de lancer windows en mode sans échec. Plus d'infos là : http://service1.symantec.com/SUPPORT...20325143456924

Utilise la méthode en image avec msconfig si tu n'arrives pas avec le F8, ce sera plus simple pour toi.

Attention tu n'as pas acces au net dans ce mode, donc note ou copie/colle dans un fichier texte les informations.

Cyrrus

[invite7f57ffba]

Ça va de mal en pis!! J'ai suivi les instructions et ai accédé au mode sans échec via msconfig, ai démarré le full scan... puis cette &+KO8&??&?7!!! de bestiole l'a encore bloqué avec le foutu message something bad had happened... Arrggggghhhhh!

[Cyrrus]

....la je suis un peu étonné...soit c'est un plantage de Ewido sur ton pc...soit...je préfère pas en parler

On va partir sur la premiere hypothèse !

Continue la procédure, et fais le rapport hijackthis, pour ensuite le poster en pièces jointes (penses bien à renommer le rapport hijackthis.log en hijackthis.txt) pour que le forum l'accepte.

Avec le rapport hijackthis on devrait etre à peu pres fixer sur l'origine du problème...

Cyrrus

[invite7f57ffba]

ouais....là ça devient un peu exotique! vais essayer hijackthis merci bcp!!

[invite7f57ffba]

Bon vlà du nouveau stock!

[invite7f57ffba]

selon ewido, j'ai un virus trojan et hijacker.

ewido m'empêche de mettre le downloader agent en quarantaine??

[Cyrrus]

Bonjour Julie,

Tu as une belle infection. J'allais justement démarré la rédaction de la procédure de désinfection. J'espère te poster ca rapidement. Arrete avec Ewido, une bestiole l'empeche de bosser correctement et il ne pourra pas te l'enlever de toute façon.

A tout à l'heure
Cyrrus

[Cyrrus]

Re Julie,

La procédure suivante va te paraitre longue, mais c'est justement parce que tout y est expliqué. Si tu as des questions je suis là évidemment.

1/ Assure toi d'avoir accès à tous les fichiers/dossiers cachés :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer le bouton-radio: Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer à tous les dossiers

2/ Télécharge les outils dont nous aurons besoin pour la désinfection :

Pocket Killbox de Option^Explicit
FixWareOut de Subratam

Mets les sur ton bureau mais n'y touche pas pour l'instant. Nous nous en servirons au fur et à mesure...


3/ Maintenant ouvre le fichier Killbox.zip que tu as téléchargé tout à l'heure. Extrait tout le contenu de cette archive dans un dossier de ton choix (Dans Mes documents>Dossier désinfection par exemple)

-> Lance Pocket Killbox
---> choisis l'option Delete on Reboot
---> copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDOWS\system32\susp.exe
C:\WINDOWS\system32\hgqhp.exe
c:\Program files\seekmo
C:\Program Files\KillAndClean
C:\WINDOWS\system32\csaff.exe
C:\WINDOWS\system32\dmcha.exe
C:\WINDOWS\system32\dmfnq.exe
C:\WINDOWS\system32\dmwzb.exe
C:\WINDOWS\system32\dmysu.exe
C:\WINDOWS\test.hta
C:\WINDOWS\system32\lsacnter.e xe
C:\WINDOWS\system32\oxvnkpuk.e xe
C:\WINDOWS\system32\nwexehsf.e xe
C:\WINDOWS\system32\tbbefctk.e xe
C:\WINDOWS\system32\znhrgcgk.e xe
C:\WINDOWS\system32\vzabdebl.e xe
C:\WINDOWS\system32\okflqika.x rd
C:\WINDOWS\system32\ajhszcwd.e xe
C:\WINDOWS\system32\ehzdzjse.e xe
C:\WINDOWS\system32\gbrbqzqb.e xe
C:\WINDOWS\system32\internetol oper.exe
C:\WINDOWS\system32\phqghume.e xe
C:\WINDOWS\system32\tlgmtvih.e xe
C:\WINDOWS\system32\xiawyaok.e xe
C:\WINDOWS\itshta.exe

/!\ Il n'y a pas d'espace entre le "e" et le "xe" de .exe, cela est due au forum.../!\

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

--- clique sur la croix blanche sur fond rouge (Delete File) :

- "File will be Removed on Reboot, Do you want to reboot now?" Réponds NON (impérativement !)

4/ Lance FixWareOut.exe

Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish.
Suis les directives à l'écran.
L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît.
Le redémarrage risque de prendre un peu plus de temps; ceci est normal.

Au redémarrage, Hijackthis va se lancer (si ce n'est pas le cas, fais le toi même). Clique sur "Do a system scan only" et coche les lignes suivantes :

O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.d ll
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.e xe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe
O4 - HKLM\..\Run: [seekmo] "c:\program files\seekmo\seekmo.exe"
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip \..\{461F69FD-4633-4598-852D-19880703F04D}: NameServer = 85.255.115.35,85.255.112.122
O17 - HKLM\System\CCS\Services\Tcpip \..\{70795985-F888-4258-9000-BCEC1F565D02}: NameServer = 85.255.115.35,85.255.112.122
O17 - HKLM\System\CS1\Services\Tcpip \Parameters: NameServer = 85.255.115.35 85.255.112.122
O17 - HKLM\System\CCS\Services\Tcpip \Parameters: NameServer = 85.255.115.35 85.255.112.122

Ferme toutes les fenêtres, exceptés hijackthis, et clique sur Fix Checked.

5/

Utilisation ----- option 2 -Nettoyage :
Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec).
Double cliquer sur smitfraudfix.cmd
Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
Redémarrer en mode normal

N.B : Attention que l'option 2 de l'outil supprime le fond d'écran ! Il te sufira de remettre le tien par la suite.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

6/ Poste le rapport de FixWareOut situé dans C:\fixwareout\report.txt ainsi que le rapport de smitfraudfix et un nouveau rapport Hijackthis, le tout en pièces jointes.

Bonne journée
Cyrrus

[invite7f57ffba]

merci énormément cyrrus!!!

D'ici une heure ou deux je me lance dans la procédure. Je t'en donne des nouvelles!

Une chance qu'il y a des gens comme toi qui ont plaisir à aider les autres...c'est assez rare de nos jours!

[invite275db609]

Bonsoir Julie, salute Cyrrus

Cyrrus, tu as oublié de faire téléchargé le formidable outil de S!Ri, Julie, si tu veux pouvoir lancer smitfraudfix, il te faut avant tout le téléchargé :
Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Dézipper la totalité de l'archive smitfraudfix.zip

Cyrrus, pour le probleme d'espace dans la balise quote, tu devrais peut-etre la remplacé par une balise code, a mon avis, il n'y aurait plus ce probleme (pas tester, mais logique) ...

Désolé de l'incrust dans le nettoyage, je laisse la place

Bonne soirée a tous les deux

[Cyrrus]

OUPSSS ! Quel neuneu !! Merci synthexe pour avoir corrigé le tir !

Cyrrus...qui fait bien de partir en vacances !

[aigle333]

OUPSSS ! Quel neuneu !! Merci synthexe pour avoir corrigé le tir !

Cyrrus...qui fait bien de partir en vacances !

pour nous revenir en pleine forme

bye!

[invite7f57ffba]

voici le rapport smitfraudfix...

[invite7f57ffba]

et le rapport hijack...

[invite7f57ffba]

il semble que tout est rentré dans l'ordre!!!
tout fonctionne!!
Je peux aller dans mon fichier musique mais je crois qu'une chanson est corrompue car je ne peux ni la changer de place ni l'effacer.

Des trucs pour la détruire?


Merci beaucoup de votre aide, surtout cyrrus, c'est inestimable!!!

[Cyrrus]

Bonjour Julie,

Erf malheuresement cela n'a pas marché, l'infection est toujours là. Il manque à ce sujet le rapport de ixwareout, peux tu me le donner ?

Je te reposterai une procédure dans la journée
Cyrrus

[invite275db609]

Bonjour Julie,

Et non, tout n'est pas fini :
http://www.castlecops.com/tk29994-winapi32_dll.html
http://www.castlecops.com/tk30046-unknown.html
etc...

Ne t'inquiete pas, Cyrrus va finir ce nettoyage.

Bonne journée

EDIT : Coucou Cyrrus, tu m'as devancé ...

[Cyrrus]

Re synthexe,

Il y a un truc que je ne comprend pas. J'ai le même rapport que le premier d'hier....pas toi synthexe ?

Julie peux tu me poster un nouveau rapport hijackthis...?

[invite275db609]

Exact Cyrrus, j'avais pas remarqué ...

Julie, aurais-tu bien cliquer sur FixChecked dans hijackthis apres avoir coches les differentes cases ?

[Cyrrus]

Nop je pense pas que ce soit une erreur de manip, car elle parle de symptomes disparu (mais pas forcément d'infections !), donc normalement il devrait y avoir au moins quelques bestioles de déquillée.

Je pense (enfin j'espère) plutot qu'elle s'est emmelée les pinceau et a joint le premier rapport hijackthis, et non le nouveau...

Les rapports sont en plus à la même date/heure, donc je penche plutot pour mon hypothèse

[invite7f57ffba]

je crois que je n'ai pas réussi à copier-coller tous les fichiers au moment d'inscirire dans full path of file to delete dans pocket. je crois que le probleme vient de là?? En tout cas, j'ai détruit quelque chose car je peux faire toutes les choses que je ne pouvais pas.

Au retour du week-end je vais recommencer entièrement la procédure.