Qui n'a pas son malware !!!

[castor62]

Bonjour à tous et heurex de pouvoir trouver de l'aide sur le net.
Je suis également touché par l'apparition de fenêtre intempestive.
Donc, j'ai suivi les différentes recommandations faites sur le tuto mais déjà là, j'ai des problêmes.
Pour atf cleaner, le programme se bloque à chaque fois.
Pour diaghelp, idem aucun rapport et programme bloqué.
Pour blacklight, le scan se bloque au bout de 30 secondes toujours au même endroit sur un fichier nommé YT5EJYT4.
J'ai tout de même un début de rapport que je vous livre ci dessous :
05/12/07 14:11:57 [Info]: BlackLight Engine 1.0.61 initialized
05/12/07 14:11:57 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/12/07 14:11:57 [Note]: 7019 4
05/12/07 14:11:57 [Note]: 7005 0
05/12/07 14:11:59 [Note]: 7006 0
05/12/07 14:11:59 [Note]: 7011 1388
05/12/07 14:11:59 [Note]: 7026 0
05/12/07 14:11:59 [Note]: 7026 0
05/12/07 14:11:59 [Note]: 7024 3
05/12/07 14:11:59 [Info]: Hidden process: C:\windows\system32\vemtbdltdb .exe
05/12/07 14:12:03 [Note]: FSRAW library version 1.7.1021

J'ai besoin de vos lumiéres car je ne sais plus quoi faire à part un formatage qui me ferais perdre pas mal de données importantes sur mon PC.
Merci d'avance
-----

[castor62]

J'ai oublié de dire que j'utilise IE

[castor62]

N'ya t il personne en ligne pour m'aider?
Je reposte car j'ai peur que mon message ne soit pas vu par les personnes susceptibles de m'aider.

[igor51]

Bonjour et Bienvenu sur Futura !

Tout d'abord sache que nous avons des vies à côtes du forum et que l'on ne passe pas tout notre sur Internet, donc patience.


Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 4 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.

Bonne journée

[A voir en vidéo sur Futura]

[castor62]

Bonsoir,
J'ai réussi certains points de la procédure.
1 - ATF cleaner a bien voulu fonctionner cette fois.
2 - Diaghelp : 30 minutes d'attente et celui-ci reste bloqué sur ' liste fichiers sans compagnie des répertoires windows' donc je n'ai pas de rapport pour cette partie.
3 - Hijackthis : je met le rapport en piéce jointe

Merci à vous de prendre de votre temps pour m'aider.

[igor51]

Bonsoir,

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.
Télécharge Brute Force Uninstaller (de Merijn).

• Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
• Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
• FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica).
• Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Sous Scriptline to execute copie/colle cette ligne :
c:\bfu\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code" )

Code:

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vemtbdltdb
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|vemtbdltdb
FileDelete %SYSDIR%\vemtbdltdb_navup.dat
FileDelete %SYSDIR%\vemtbdltdb_navps.dat
FileDelete %SYSDIR%\vemtbdltdb_nav.dat
FileDelete %SYSDIR%\vemtbdltdb.dat
FileDelete %SYSDIR%\vemtbdltdb.exe
FileDelete %WINDIR%\PREFETCH\vemtbdltdb.exe*.pf

Enregistre ce fichier dans C:\BFU

• Nom du fichier : otherfix.BFU
• Type : tous les fichiers
• clique sur Enregistrer
• quitte le Bloc note

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Sous Scriptline to execute copie/colle cette ligne :
c:\bfu\otherfix.BFU

Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.


Redémarre en mode normal.

Poste dans ta prochaine réponse un nouveau log Hijackthis


Bonne soirée

[castor62]

Voila le nouveau rapport :
Bonne nuit.

[igor51]

Bonjour,

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

--------------------------------

Toujours en mode sans échec, refais les scan suivants :

-> Blacklight
-> Diaghelp

Reviens en mode normal.

Poste moi les rapports suivants dans ta prochaine réponse.

-> le rapport d'AVG-AS
-> Le rapport de Blacklight
-> le rapport de Diaghelp


Bonne journée

[castor62]

AVG se bloque sur un fichiers local settings .
Le minuteur continue de fonctionner mais le nombre de fichiers ne bouge plus.
J'ai attendu plus d'un quart d'heure sans aucun changement.
Que puis je faire?

[igor51]

Re,

Aurais-tu le nom du fichier ?


-----------------------------

Recommence la procédure en applicant en mode sans échec ATF-Cleaner avant de faire le scan avec AVG-AS

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.


Tiens moi au courant,

Bonne journée

[castor62]

ça se complique je pense car atf cleaner ne veux plus fonctionner aussi.
J'ai essayé sur le mode normal et sans échec.
Pour ce qui du fichier ou AVG bloque non je n'ai pas le nom.

[castor62]

J'ai fait quelques essais.
ATFcleaner se bloque quand je sélectionne 'all user temp'.

[castor62]

J'ai essayé de supprimer les fichiers temporaires directement sous IE dans les options internet.
Le résultat est le même, la barre d'avancement n'avance pas d'un poil.
J'ai le dossier 'mes documents' qui se trouve sur le disque d:, cela peux t il avoir une influence?

[igor51]

Re,


j'ai quelque soucis moi aussi ^^

C'est vraiment bizarre comme problème.

En mode sans échec, vide les dossier suivant

C:\Documents and Settings\nom de ta session\Local Settings\Temp
C:\Documents and Settings\nom de ta session\Local Settings\Temporary Internet Files


Bonne journée

[castor62]

allons y pour la suite,
J'ai réussi à faire un atf cleaner en mode normal mais toujours pas en mode sans échec.
Ensuite, en mode sans échec, j'ai effacé les contenus des dossiers demandés.
Ensuite, j'ai relancé AVG mais celui bloque toujours au même endroit cad c:\document and settings/jean-marc/local settings/temporary internet files/contenties/index mais j'ai pas la fin alors que le dossier temporary internet files, quand j'y vais manuellement, est totalement vide même en affichant tous les fichiers cachés et systême.

PS: je ne répondrai plus avant 19 h car je pars cet aprés midi

[igor51]

Bonsoir,

on va essayer autre chose pour savoir qu'est-ce qui fait bloquer tous ces scannes.


Télécharge SREng (par Smallfrogs)

• Extrais tout son contenu sur ton Bureau
• Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double clique sur SREng.exe afin de lancer l'outil
• Clique sur Smart Scan
• Ensuite, clique sur le bouton [Scan]
• Lorsque complété, clique sur le bouton [Save Reports]
• Sauvegarde le rapport sur ton Bureau

Poste le fichierSREnglLOG.log dans ta prochaine réponse.

Bonne soirée

[castor62]

Voila le résultat :

[igor51]

Bonjour,

désinstalle incrédimail >> http://assiste.com.free.fr/p/logithe...credimail.html

Il est peut être à l'origine de toutes ses erreurs.

Recommence les instructions de mon post6

Bonne journée

[castor62]

Bonsoir igor51
Aprés avoir désinstallé incrédimail, j'ai donc recommencé la procédure.
J'ai toujours AVG qui se bloque sur ce fichier qui pour moi, n'existe pas.
Soit :
c:\document and settings/jean-marc/local settings/temporary internet files/CONTENTIE5/index
Le dossier en rouge est introuvable en recherche directe.

PS: je me suis permis de réinstallé incrédimail aprés cela

[igor51]

Bonjour,

Redémarre en mode sans échec avec prise en charge du réseau

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.


Bonne journée

[castor62]

Bonjour igor,
Je n'arrive pas à analyser le disque complet mais je pense avoir trouvé la raison.
J'ai réussi à accéder au fichier c:\document and settings/jean-marc/local settings/temporary internet files/CONTENT.IE5/ en écrivant le nom du dossier directement dans la barere d'addresses et tout les scan se bloquent à ce niveau.
- en premier, j'ai voulu afficher le contenu -->impossible
- en second, j'ai voulu le supprimer --> impossible
Donc j'ai fait un clic droit sur ce dossier et là, grosse surprise, le dossier grandit tout seul d'une dizaine de Mo par secondes et de milliers de fichiers.
J'ai l'impression que dés qu'une action est faite sur ce dossier, il se met à grandir d'où l'impossibilité de le scanner jusqu'au bout puisqu'il n'est jamais finit.

Je refait un scan en ligne avec kaspersky car il avait trouvé quelquechose avant et je reposte.

[castor62]

Le nom du dossier exact est celui là :
C:\Documents and Settings\JEANMARC\Local Settings\Temporary Internet Files\Content.IE5\YT5EJYT4\

[castor62]

Voila le rapport de la partie analysée avant le blocage:

[igor51]

Bonsoir,

Tout d'abord, supprime tous tes mails car ils sont infectés.

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\Documents and Settings\JEANMARC\Local Settings\Temporary Internet Files\Content.IE5\YT5EJYT4\
  C:\Documents and Settings\JEANMARC\Application Data\Thunderbird\Profiles\o5s1nu3j.default\Mail\Local Folders\Inbox/[From "cderostand@venteprivee.com" <cderostand@venteprivee.com>][Date Fri, 14 Apr 2006 14:08:32 +0200]/UNNAMED

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse


Bonne soirée

[castor62]

Je crois que j'ai la guigne.
Impossible de déplacer ce satané dossier C:\Documents and Settings\JEANMARC\Local Settings\Temporary Internet Files\Content.IE5\YT5EJYT4\ Otmoveit se bloque.
J'ai mis cette addresse directement dans Otmoveit car de toute façon, je ne peux pas entrer dans le dossier pour sélectionner les fichiers.
Pour l'autre c'est ok.
Je poste quand même le rapport .
Comment supprimer des fichiers sans même qu'il s'en rende compte ?
Tel est la question ....
Je te remercie encore de t'occuper de moi.

[castor62]

Ne peut on pas y arriver en passant par l'invite de commande c: ?
J'y suis allé mais je n'ai pas assez de notions pour pouvoir naviguer dans les différents dossiers.

[castor62]

Est ce que quelqu'un a déjà été touché par ce problême ?

[igor51]

Bonjour,

je vais te demander d'être patient, je cherche les raisons...mais c'est spécial comme problème.

Bonne journée

[igor51]

Bonjour,

on va faire quelque chose:


Télécharge Navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
Enregistre-le sur ton Bureau.

Fais un clic droit sur navilog1.zip et choisis tout extraire
Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

Au menu principal, choisis 4 et valide.

Le fix va te demander de saisir le nom de fichier.
Saisies ce qui est ci-dessous et rien d'autre puis valide:

Code:

vemtbdltdb

Le fix va te demander de le resaisir, fais-le et valide

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.

(si ton Pc ne redémarre pas automatiquement, fais le toi même)

Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

Note : Si ton bureau ne réapparait pas, déroule les instructions suivantes:

1. Fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
2. Rends-toi à l'onglet "processus".
3. Clique en haut à gauche sur fichiers et choisis "exécuter"
4. Tape explorer et valide. Celà te fera apparaitre ton bureau.

Poste le rapport en pièce jointe dans ta prochaine réponse.


Bonne journée

[castor62]

Bonsoir igor51,
Voila le rapport demandé.
J'ai espoir car cette fois ci cel a fonctionné sans problême.
Bonne soirée