myalbumphoto2007.zip

[invite447557c4]

Bonjour a tous,

J'ai moi aussi été infecté par le répandu "myalbumphoto2007.zip" pour l'avoir téléchargé de plein gré (malheureusement) via MSN. Les conséquences sur le fonctionnement de mon ordinateur sont assez désastreuses : le PC est lent au possible, et il est maintenant impossible d'effectuer la moindre action (je dirais même le moindre clic). J'ai pu télécharger Avast et l'éxécuter, mais celui-ci n'a semble-t'il detecté et supprimé que des trojans.

J'ai donc suivi la procédure indiquée par le Groupe AntiMalware. J'ai d'abord téléchargé les programmes depuis un autre poste, puis les ai éxécuté sur mon PC depuis le Mode Sans Echec de Windows, le mode normal ne répondant plus de rien.

Voici les differents rapports générés. Quelle est la procédure à suivre à présent ?

Je vous remercie par avance pour votre aide.
-----

[yoda1234]

Message déplacé dans le sous forum adéquat.

[invite275db609]

Bonjour Ju_Halmstad et bienvenue sur Futura-Sciences Generation

Le rapport de diaghelp n'est pas celui-ci. Apres le scan dans la fenetre rouge, il te faut cliquer sur Entrée pour que diaghelp finisse son travail de scan et affiche le rapport. Poste le nous stp.

Tu es effectivement très infecté, je vais t'aider à régler tes problèmes.

Tu n'as pas de Firewall, c'est la 1ere des protections à installer pour un minimum de sécurité...
Le parefeu windows ne bloque QUE LES ENTREES, il ne bloque aucune sortie, ce qui fait que lorsque l'on est infecté, toutes les infos récupérées par les éditeurs de malwares peuvent sortir en douce sans que tu ne les apercoives, ce qui n'est pas le cas des parefeux suivants, qui bloque les entrées ET les sorties.

Tu DOIS ABSOLUMENT installer un FIREWALL, en voila 4, gratuits et performants :
Zone alarm, parefeu gratuit et performant :

• Téléchargement de ZoneAlarm : http://www.zonelabs.com/store/conten...&ctry=&lang=fr
• Tutorial de configuration : http://speedweb1.free.fr/frames2.php?page=tuto1

Kerio Personnal Firewall très bon et gratuit aussi :

• Téléchargement de Kerio : http://telechargement.zebulon.fr/license-1-82.html
• Tutorial de configuration : http://www.vulgarisation-informatique.com/kerio.php

Jetico, que je n'ai pas testé mais dont j'ai eu de très bons échos :

• Téléchargement de Jetico : http://www.jetico.com/download.htm
• Tutorial de configuration : http://www.malekal.com/tutorial_JeticoFirewall.php

Outpost

• Téléchargement d'Outpost : http://www.agnitum.com/products/outp...e/download.php
• Tutorial de configuration : http://c.rosu.free.fr/Conf_outpost.htm

=======================

On attaque :

Clique sur Démarrer --> Exécuter --> Saisie ensuite ce qui suit :

Code:

SC stop gtexecd3490

Valide en cliquant sur Ok.
Recommence l'opération en saisissant ceci :

Code:

SC delete gtexecd3490

Code:

SC stop gtsched3491

Code:

SC delete gtsched3491

===========================

• Télécharge MSNFix (de !aur3n7) sur ton bureau.
• Décompresse-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
• Exécute l'option R.
• Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.
• Sauvegarde ce rapport puis post ce rapport sur le forum, en pièce jointe, ainsi qu'un nouveau scan HijackThis fait en mode normal.
  Note :
  Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
• Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

===========================

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse, en pièce jointe, sur le forum, avec un nouveau log Hijackthis !

N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

============================== ==

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes (certaines ne devraient plus etre là) :

O2 - BHO: Shell Event Object Class - {00534B55-3155-CA4F-B41D-0E922121D03C} - C:\WINDOWS\System32\cscentfy.d ll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu420.exe 61A847B5BBF72816309B2845039968 97C881250221C8670836AC4FA7C883 3201749139
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O21 - SSODL: system32 - {4CD3ED3B-0BDE-4CF3-ACF8-C468A42C5DA0} - sysprinters.dll (file missing)
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.ex e

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

==========================

• Télécharge OTMoveIt de OldTimer.
• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

Code:

C:\WINDOWS\retadpu420.exe
C:\WINDOWS\Temp\startdrv.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le bouton rouge Moveit!.
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles, en pièce jointe.

===========================

Poste moi les rapports demandés en pièces jointes : MSNFix, SDFix, OTmoveIT, et un nouveau hijackthis.

Bonne journée

[invite275db609]

Hop, je poste ton rapport hijackthis anonymisé

[A voir en vidéo sur Futura]

[invite447557c4]

Bonsoir synthexe,

D'abord merci pour ton aide et ta réactivite !

Avant toute chose, que signifie rapport "anomysé" ? Que suis-je censé faire avec ce rapport ?

Voici les nouveaux rapports édités après avoir suivi tes instructions, respectivement :

1. supprimer les 2 fichiers via la commande "Exécuter",
2. éxécuter MSNFix,
3. éxécuter SDFix,
4. lancer hijackthis en mode "Do a system scan only",
5. éxécuter OTMoveIt,
6. éxécuter hijackthis en mode "Do a system scan and save a logfile".

NOTE : Lors de l'execution de OTMoveIt, le fichier *.log n'a pas été créé (un message d'erreur "Cannot create file ..." est apparu). J'ai donc créé manuellement le dossier C:\_OTMoveIt\MovedFiles puis ré-éxécuté OTMoveIt. Le rapport a ainsi pu être édité.

Quelles sont les nouvelles instructions, synthexe ?

Merci d´avance,
Julien

[invite447557c4]

Voici les 2 derniers messages manquants !

[invite275db609]

Bonsoir

Beau travail
MAIS, tu n'as toujours pas installer de firewall !!!
Le rapport de SDFix n'est pas complet.

On enchaine :
Clique sur Démarrer --> Exécuter --> Saisie ensuite ce qui suit :

Code:

SC stop matlabserver

Valide en cliquant sur Ok.
Recommence l'opération en saisissant ceci :

Code:

SC delete matlabserver

Code:

SC stop msupdate

Code:

SC delete msupdate

========================

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

=========================

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre ton poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

=========================

• Analyse ce fichier scaniaV8.scr chez virustotal :
  http://www.virustotal.com/xhtml/virustotal_en.html
• Clique sur parcourir localise le fichier sur ton disque dur ( C:\WINDOWS\system32\scaniaV8.s cr ) et clique sur send.
• Attend le rapport et colle le dans ta prochaine réponse

=========================

Repasse SDFix et poste son rapport complet stp.

=========================

Poste le rapport KasperskyOnline et celui de virustotal.

Où en sont tes dysfonctionnements ??

Bonne soirée/nuitée

[invite447557c4]

Bonjour synthexe,

Voici les rapports demandés. Kaspersky a trouvé pas mal de virus, comment faire pour les éliminer ?

J'ai redémarré mon PC en mode normal, ça à l'air de tourner pas mal !! C'était plutôt inespéré !!

Que me conseilles-tu de faire maintenant ? Y'a-t'il d'autres fichiers à supprimer ?

Et finalement, quelles protections me recommandes-tu d'installer ? Car avast! semble être une vraie passoire...

Mon PC reprend du service, merci BEAUCOUP !!

[invite275db609]

Bonjour

Car avast! semble être une vraie passoire..

Voila un petit comparatif, réalisé par un compère qui te confortera un peu dans ton idée : http://forum.malekal.com/sutra23942.php#23942
Une fois la désinfection terminée, je te donnerais tous les conseils qu'il te faut.

Ouaaah, on peut voir dans le rapport de SDFix que tu étais vraiment très très infecté (et peut-etre encore). On a encore du boulot pour vérifier que ta machine va vraiment mieux.

============================

Le fichier que je t'ai fait analyser chez Virustotal est très mal détecté, pourrais-tu l'envoyer à un collègue pour analyse plus poussée, merci :

• Rends-toi sur cette page : http://secubox.gateweb.org/mad.php
• Clique sur Parcourir et selectionne le fichier suivant :

Code:

C:\WINDOWS\system32\scaniaV8.scr

• Dans le cadre juste en dessous, saisie ceci :

Code:

Demande d'envoi par synthexe.
http://forums.futura-sciences.com/showthread.php?p=1192262#post1192262
Fichier très mal détecté :

=================================

AhnLab-V3 2007.7.7.0 07.10.2007 no virus found
AntiVir 7.4.0.39 07.10.2007 no virus found
Authentium 4.93.8 07.10.2007 no virus found
Avast 4.7.997.0 07.11.2007 no virus found
AVG 7.5.0.476 07.10.2007 no virus found
BitDefender 7.2 07.11.2007 no virus found
CAT-QuickHeal 9.00 07.10.2007 no virus found
ClamAV devel-20070416 07.11.2007 no virus found
DrWeb 4.33 07.11.2007 no virus found
eSafe 7.0.15.0 07.10.2007 Suspicious Trojan/Worm
eTrust-Vet 30.8.3778 07.10.2007 no virus found
Ewido 4.0 07.10.2007 no virus found
FileAdvisor 1 07.11.2007 no virus found
Fortinet 2.91.0.0 07.11.2007 no virus found
F-Prot 4.3.2.48 07.10.2007 no virus found
Ikarus T3.1.1.8 07.11.2007 no virus found
Kaspersky 4.0.2.24 07.11.2007 no virus found
McAfee 5071 07.10.2007 no virus found
Microsoft 1.2704 07.11.2007 no virus found
NOD32v2 2390 07.10.2007 no virus found
Norman 5.80.02 07.10.2007 no virus found
Panda 9.0.0.4 07.11.2007 no virus found
Sophos 4.19.0 07.06.2007 no virus found
Sunbelt 2.2.907.0 07.11.2007 no virus found
Symantec 10 07.11.2007 no virus found
TheHacker 6.1.6.144 07.09.2007 no virus found
VBA32 3.12.0.2 07.10.2007 no virus found
VirusBuster 4.3.23:9 07.10.2007 no virus found
Webwasher-Gateway 6.0.1 07.11.2007 no virus found
Aditional Information
File size: 203264 bytes
MD5: 479ad04aa84c098c4345daccb8013c75
SHA1: 90a024743969d6d450a7af16f32167493778ca19
packers: ASPACK
packers: Aspack

=================================

• Clique sur Envoyer

.

============================

Peux-tu refaire un rapport Kaspersky stp, je t'ai demandé de le faire avant de repasser SDFix, mais j'aurais du te demander de le faire ensuite. (SDFix a nettoyé beaucoup de choses)

=======================

Repasse Diaghelp option1.

=======================

Poste moi les rapports suivants : un nouveau Kaspersky, un nouveau Diaghelp option1 et un nouveau hijackthis.

Bonne journée

[invite447557c4]

Bonsoir,

J'ai fait analysé le fichier mal détecté sur Secubox. As-tu obtenu les retour d'analyse ?

J'ai ensuite effectué un scan via Kaspersky, en analysant cette fois en plus mon DD externe H: just in case. Celui-ci n'est pas infecté, n'est-ce pas ?

Kaspersky a de nouveau repéré 11 virus. Comment procéder pour les éradiquer ?

Voici les rapports que tu m'as demandé. Merci encore pour ton expertise, synthexe.

Julien

[invite275db609]

Bonjour

Pas encore de retour des analyses, j'ai un probleme de login sur le site ... j'irais voir plus tard, l'essentiel est que le fichier soit arrivé jusque la-bas

Supprime les dossiers suivants (et leur fichier d'installation en meme temps) :
C:\Documents and
Settings\Administrateur.SECOS\ Bureau\MSNFix
C:\Documents and
Settings\Administrateur.SECOS\ Bureau\SDFix

========================

On continue :
Lance OTmoveIT en y copiant/collant le contenu de la boite ci-dessous :

Code:

C:\d.exe~
C:\Documents and Settings\PCT\fecged.exe
C:\Documents and Settings\PCT\Local Settings\Temp\winlogon.exe
C:\Documents and Settings\PCT\zaldum.exe
C:\vbhq.exe
C:\WINDOWS\SYSTEM32\28152112ld.exe
C:\WINDOWS\SYSTEM32\DRIVERS\SECDRV.SYS

Clique sur MoveIT et poste le rapport dans ta prochaine réponse, accompagné d'un nouveau Kaspersky.

Bonne journée

[invite447557c4]

Bonsoir synthexe,

voici les rapports OTMoveIt et Kaspersky en PJ. Plus que 5 virus apparement, ça fait 6 de moins par rapport à ce matin !!

C'est encore grave, doc' ?

Merci d'avance.

[invite275db609]

Super

As-tu encore des dysfonctionnements ?
Si non, mais qu'ils reviennent dans quelques jours, n'hésites pa à revenir poster ici meme.

Pour moi, on est bon en suivant ces dernieres consignes :
Supprime le dossier suivant :
C:\_OTMoveIt

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

Désinsalle/supprime tout ce que je t'ai fait téléchargé (sauf bien sur le firewall), tu peux aussi garder ATF-Cleaner.

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Infections
TES infections étaient Backdoor.Win32.Agent.alm, Backdoor.Win32.IRCBot.acd, Trojan.Win32.Small.oa, Trojan-Proxy.Win32.Agent.mx, Rootkit.Win32.Agent.eb, Trojan-Proxy.Win32.Dlena.cy, Trojan-Downloader.Win32.Agent.bls, Trojan-Proxy.Win32.Small.du, Trojan-Downloader.Win32.Tiny.gx, Rootkit.Win32.Agent.dp

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne fin de journée

[invite447557c4]

C'est fait, le message est posté sur Malware Complaints !

Zone Alarm, AntiViret Ad-Aware sont installés, j'espère être protégé efficacement.

En ce qui concerne le fichier que tu m'as fait analyser sur Secubox, as-tu du nouveau ? Est-il infecté ?

Merci encore pour ton aide. Mon PC reprend su service, tout semble fonctionner correctement !

[invite275db609]

Bonjour Ju_Halmstad

Je suis en train de voir pour me logguer sur Secubox, y'a un probleme avec mon login/mdp, ce sera regler dans la journée, je te tiendrai au courant

[invite447557c4]

Salut synthexe,

toujours pas de nouvelles sur ce fichier ?

Merci d'avance.

[invite275db609]

Bonjour Ju_Halmstad

Si si, j'ai oublié de repasser te dire.
Le fichier parait légitime, mais légerement buggué, il a été envoyé pour analyse encore plus poussée chez les différents éditeurs antivirus (par contre, je n'en aurais pas forcement d'écho.
Personnellement, par sécurité, je l'effacerais de la machine.

Bonne journée

EDIT : Merci pour la plainte sur MalwareComplaints