infection Win32:Tiny.IF

[Sophie59]

Bonjour à tous
Un cheval de troie est "entré" dans mon pc hier . Avast et AVG me l'ont signalé .Il a été mis en quarantaine mais revient tout le temps .Depuis j'ai des fenêtres de publicité qui s'ouvrent en permanence. Y-a-t-il une solution à mon problème ? Je vous remercie tous d'avance .
Sophie !

[synthexe]

Bonjour Sophie et bienvenue sur Futura-Sciences Generation

Une question en passant ... n'es-tu pas Palmyre (c'est bizarrement le meme nom dans les rapports : Famille XXXXXXXX
On avait désinfecté la machine, non ??

Tu es effectivement infecté notemment par Vundo/Virtumonde, je vais t'aider à régler le problème :

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
• Clique sur le bouton Scan for Vundo
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
• Poste le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse, en pièce jointe.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

============================

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

=========================

Poste les rapports demandés (en pièces jointes) : VundoFix, KasperskyOnline, et un nouveau hijackthis.

Je joins tes rapports anonymisés :

[Sophie59]

Bonjour et merci de m'aider .Maman avait desinfecté le pc et du coup je me suis réinscrite pour demander de l'aide....(sinon ça va barder) Je t'envoie tout ce que tu me demandes au prochain mail
Sophie

[synthexe]

Il faudra surtout en fin de désinfection sécuriser la machine grace au dossier de prévention ....

[Sophie59]

Bonsoir ,
Voici les rapports demandés...Bonne lecture
Sophie

[synthexe]

Bonjour Sophie

Bon boulot, la machine doit commencer a mieux se comporter, non ?

Je te conseillerais en passant de changer d'Antivirus ... voila un petit comparatif qui te montrera les faiblesses d'Avast par rapport à Antivir : http://forum.malekal.com/sutra23942.php#23942

Dis moi où en sont tes dysfonctionnements et si tout va bien, on terminera/finalisera la désinfection.

Bonne journée

[Sophie59]

Bonjour
J'ai fait un nouveau scan Vundo ce matin parce que Avast s'ouvrait en permanence , me signalant le cheval de troie . Voici le rapport HiJackThis que j'ai fait à la suite ,et aussi celui de Vundo

[synthexe]

Bonjour

Effectivement, Vundo s'accroche ... on va voir s'il y a encore des restes :

• Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
• Double clique combofix.exe et suis les invites.
• Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport en pièce jointe dans ta prochaine réponse.

Poste également un nouveau hijackthis.

Bonne fin de journée

[Sophie59]

Bonjour , c'est Palmyre qui prend le relais de mes nigauds d'enfants .Forcémént ils ne sont pas fiers de leur bêtise , c'est en fait mon fils qui a voulu craquer un logiciel qui a infecté MON pc! (il s'est bien gardé de le faire sur le sien ) Je ne sais plus comment leur expliquer , enfin bref , je vais laisser Sophie à ses occupations , puisqu'elle n'y est pour rien , (cette fois ci ) J'ai lu avec intérêt la conversation et vais donc changer d'anti-virus à la fin de la procédure (trés intéressant l'article ) Bon voici les rapports demandés . A bientôt....
Au fait , pour l'instant , je n'ai plus de pubs intempestives ....(mais pendant le scan Combofix , Avast s'est mis en route )

[synthexe]

Bonsoir Palmyre

Tu ne féliciteras pas ton fils pour moi ...
On enchaine (il y avait encore quelques traces de vundo) :

• Crée un fichier avec le bloc-note, saisie le contenu de la boite ci-dessous :

Code:

Folder::
C:\VundoFix Backups
C:\Program Files\Navilog1
C:\Program Files\Multi_Media_France

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6FFB9B6E-BE8D-4E02-8F5A-B2276FB26F88}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8646FB1C-897C-4F2E-B3EC-559E09548BE8}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebxxvw]

• Sauvegarde le fichier avec le nom suivant : CFScript.txt
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

============================

Télécharge ce fichier SafeBoot.reg puis double-clique dessus et accepte l'inscription des données.
NOTE : si le fichier SafeBoot.reg s'ouvre sur la navigateur, faire un clic droit sur le lien puis enregistrer la cible du lien sous.

=============================

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O2 - BHO: (no name) - {6FFB9B6E-BE8D-4E02-8F5A-B2276FB26F88} - C:\WINDOWS\system32\ddaba.dll (file missing)
O2 - BHO: (no name) - {8646FB1C-897C-4F2E-B3EC-559E09548BE8} - C:\WINDOWS\system32\mllmk.dll (file missing)
O20 - Winlogon Notify: gebxxvw - gebxxvw.dll (file missing)

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

=============================

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

====================

Poste moi les rapports demandés : ComboFix, KasperskyOnline et un nouveau hijackthis.

Bonne soirée

[Sophie59]

Bonjour
Voici les derniers rapports
Palmyre

[synthexe]

Bonjour

Beau boulot mais le rapport hijackthis n'est pas complet.

Un fichier m'intrigue, je vais te le faire analyser :

• Télécharge http://xfocus.net/tools/200605/IceSword1.18en.rar
  
• Double-clic sur IceSword1.18en.rar et extrait tous les fichiers sur ton bureau.
• Double-clique sur IceSword.exe
• Dans la partie gauche de l'interface, clique sur File
• Selectionne ensuite, dans la partie droite, le fichier suivant :
  C:\WINDOWS\system32\552A723E42 .sys
• Fais ensuite un clique-droit sur le fichier puis copy to...
• Donne lui son vrai nom et choisis un chemin pour sauvegarder le fichier (genre C:\doute_sur_un_fichier\552A72 3E42.sys

• Analyse ce fichier 552A723E42.sys chez virustotal :
  http://www.virustotal.com
• Clique sur parcourir localise le fichier sur ton disque dur ( C:\doute_sur_un_fichier\552A72 3E42.sys ) et clique sur send.
• Attend le rapport et colle le dans ta prochaine réponse

Bonne journée

Rapport anonymisé

[Sophie59]

Je suis désolée , j'ai fait une mauvaise manoeuvre avec IceSword ,je n'arrivais pas à avoir de fichier quand j'ai cliqué sur file ..J'ai voulu le réinstaller mais il est parti je ne sais où et je n'arrive pas à le supprimer puisqu'il est utilisé par une autre source ....Que dois-je faire ? ??

[Sophie59]

Voici le message exact :
Initialize failed , error code:1073741544

[Sophie59]

Encore un nouveau message ...Voilà en fait j'ai retrouvé une petite icone dans ma barre de tache et j'ai tout desinstallé et réinstaller .Bon quand je clique sur file , je dois cliquer sur quoi :Setting ?