J'ai eu une tentative d'accès à internet bloquée par look'n stop pour Wintems.
Mais je ne le trouve pas.
Avast a été désinstallé, impossible de le réinstaller ?
Merci de votre aide.
Voir log en PJ
(Le resultat decoupé en 3 (taille forum) de diaghelp)
MODÉRATION
Merci de relire la charte que tu as acceptée en t'inscrivant ici et qui dit:
La courtoisie est de rigueur sur ce forum : pour une demande de renseignements bonjour et merci devraient être des automatismes.
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Bonjour (comme l'a dit Yoda, on est pas contre un peu de courtoisie ...)
Tu es effectivement infecté, tu as (au moins) des restes de baggle sur ta machine et une infection Navipromo. Mais il y'a certainement d'autre chose ...
On va commencer par traiter les infections citées ci-dessus :
Télécharge ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/desca...5/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\
============================== =
- Télécharge Navilog1 de Il-Mafioso.
- Ensuite double clique sur navilog1.exe pour lancer l'installation.
- Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).- Au menu principal, choisis 4 et valide.
- Le fix va te demander de saisir le nom de fichier.
- Saisies ce qui est en gras ci-dessous et rien d'autre puis valide:
kdjtdony- Le fix va te demander de le resaisir, fais-le et valide.
- Le fix va t'informer qu'il va alors redémarrer ton PC.
- Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
- Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)- Au redémarrage de ton PC, choisis ta session habituelle.
- Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***- Le bloc-note va s'ouvrir.
- Sauvegarde le rapport de manière à le retrouver.
- Referme le bloc-note. Ton bureau va réapparaitre.
Note : Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter".
Tapes explorer et valides. Celà te fera apparaitre ton bureau.
==============================
- Ferme/Désactive ton antivirus (important), avant de télécharger et lancer Combofix.
- Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Double clique combofix.exe et suis les invites.
- Ne pas cliquer sur la fenetre de commande de Combofix pendant le scan, cela peut perturber l'outil.
- Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport en pièce jointe dans ta prochaine réponse.
==============================
Poste les rapports demandés stp : Elibagla, Navilog1 option4 et ComboFix.
Bon dimanche.
Bonsoir, et tous mes voeux aux pros que vous êtes !
La dernières fois, milles excuses pour bonjour etc... Sorry !
Merci de toutes tes riches explications.
J'ai fais ce que tu m'a dit, seulement maintenant car absent, non prévu !
Donc j'ai joins les log en PJ.
Nota : Je n'ai toujours pas réussi à réinstallé AVast anti-virus !
Merci encore.
Michel
Bonjour
Super, bon boulot
Baggle est un rootkit qui t'empeche de démarrer en mode sans echec, mais egalement t'empeche aussi d'installer des Antivirus, des firewalls, etc... une vraie daube. A priori, on l'a bien éradiqué avec Elibagla, tu devrais donc pouvoir réinstaller un antivirus. Par contre, avant, je te conseille de lire ceci : un peu de lecture pour te faire prendre conscience des lacunes d'avast du moment.
Dis moi si tu arrives maintenant à installer un antivirus. Si non, relance Elibagla comme précédemment.
============================== ==
Assure toi d'avoir accès à tous les fichiers et dossiers :Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.
- Ouvre ton poste de travail.
- Menu "Outils", "Option des dossiers", onglet "Affichage" :
- Active la case : "Afficher les fichiers et dossiers cachés"
- Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
- Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
- Clique sur "Appliquer".
============================== ==
Rends toi sur ce lien : Virus Total
- Clique sur Parcourir
- Rends toi jusque sur ce fichier si tu le trouves :
- C:\WINDOWS\system32\llbyrjjgq.exe
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.
- Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
- Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
- Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
- Une nouvelle fenêtre de ton navigateur va apparaître
- Clique alors sur cette image :
- Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
- Enfin colle le résultat dans ta prochaine réponse.
Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Recommence cette opération avec :
C:\WINDOWS\cnerolf.dat
C:\WINDOWS\Setup1.exe
C:\Program Files\Fichiers communs\{30C94BBA-07CA-1036-0909-050509090021}\Update.exe
=========================
- Crée un fichier avec le bloc-note, saisie le contenu de la boite ci-dessous :
Code:File:: C:\WINDOWS\system32\winzlo32.dll Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzlo32] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=""
- Sauvegarde le fichier avec le nom suivant : CFScript.txt
- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
============================== ==
- Fais un scan en ligne Kaspersky (avec Internet Explorer, IMPORTANT)
- Clique sur Accept
- Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
- clique une nouvelle fois sur "Accept"
- Les bases de mises à jour vont s'installer, patiente un moment
- Clique sur Next.
- Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.
Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.
Colle ce rapport dans ta réponse dans ta réponse ainsi qu'un nouveau log Hijackthis.
============================== ==
Poste moi les rapports demandés : les 4 VirusTotal, celui de ComboFix, KasperskyOnline et un nouveau hijackthis.
Bonne journée
Bonsoir,
merci beaucoup !
J'ai enfin réussi à réinstaller AVast. C'est déjà plus rassurant !
J'ai faits tout les tests, voici donc les résultats. Il semble rester quelques Navipromo et autres...
Merci encore, et prêt pour faire je pense d'autres manips.
(Nota : J'ai mis une PJ en pdf car j'avais tout mis dans un fichier word mais pas possible de le joindre.)
Bonne soirée.
Bonjour
Super, bon boulot.
C'est hallucinant le nombre de processus qui se lance au démarrage de ta machine. As-tu réellement besoin d'avoir tous ces programmes lancés au démarrage ? Veux-tu qu'on en supprime quelques-uns ?
On peut voir que ton infection provient d'emule, incroyable que tu ais une version vérolée ... baggle se répand par les reseaux P2P sous forme de cracks, ceux-ci sont très vivement déconseillés pour éviter les infections et etre dans la légalité, nous allons les supprimer ensemble :
===========================C:\Program Files\eMule\emule.exe -AutoStart Infected: Trojan-Downloader.Win32.Bagle.he
J:\Documents\Parents\logiciel_ mg\vob en avi\yasa 3 7 55 1682 et crack\YASA 3GP Video Converter 3.7.55.1682.exe Infected: Trojan-Downloader.Win32.Bagle.he
Vide le dossier des éléments envoyés dans Outlook Express.Tu y a plusieurs mails infectés que tu as envoyés.
=========================
Clique sur Démarrer --> Exécuter --> Saisie ensuite ce qui suit :
SC stop IDriverT
Valide en cliquant sur Ok.
Recommence l'opération en saisissant ceci :
SC delete IDriverT
=========================
Refais un script CFScript comme ci dessus, mais cette fois-ci avec ce code :
Glisse le sur ComboFix.exe, comme précédemment.Code:FILE:: C:\Documents and Settings\bastien\Mes documents\Mes images\Autres\msn\setup.exe C:\Documents and Settings\bastien\Mes documents\Mes images\Autres\musique match\setup.exe C:\Documents and Settings\bastien\Mes documents\Mes images\Autres\smyley\setup.exe C:\Program Files\eMule\emule.exe J:\attente effacement\extraction iso buster\image scan\economiseurs\dolphinfree.exe J:\attente effacement\extraction iso buster\image scan\economiseurs\ecoX\broncridertbm.exe J:\attente effacement\extraction iso buster\image scan\economiseurs\ecoX\cowgirlcimerone.exe J:\attente effacement\extraction iso buster\image scan\economiseurs\ecoX\girl2.exe J:\attente effacement\extraction iso buster\image scan\economiseurs\ecoX\girl_upd.exe J:\attente effacement\extraction iso buster\image scan\economiseurs\screensaver\screen.exe J:\attente effacement\extraction iso buster\image scan\economiseurs\sexybabes.EXE J:\Documents\Parents\logiciel_mg\vob en avi\yasa 3 7 55 1682 et crack\YASA 3GP Video Converter 3.7.55.1682 Cracked.exe J:\Documents\Parents\logiciel_mg\x500\tomtom\TomTom.Navigator.6.201.Full.Cracked.All.PPC.Multilanguage-iND\setup.exe/data.rar/install.exe J:\Documents\Parents\logiciel_mg\x500\tomtom\TomTom.Navigator.6.201.Full.Cracked.All.PPC.Multilanguage-iND.zip C:\WINDOWS\system32\llbyrjjgq.exe FOLDER:: C:\Program Files\Navilog1\Backupnavi C:\Muestras C:\WINDOWS\system32\drivers\down
============================
Désinstalle Navilog1 et supprime son dossier associé C:\Program Files\Navilog1
============================
Repasse un scan Kaspersky.
============================
Réponds à mes questions et poste les rapports demandés : ComboFix, KasperskyOnline et un nouveau hijackthis.
Bonne soirée
Bonjour.
Je te remercie , Je crois que je te donne du mal.
Effectivement, on peut diminuer au juste nécessaire le nombre de processus qui se lance au démarrage, mais je ne sais pas ce qui doit absolument rester ?
Pour le reste, j'ai tout fais, et voila le nouveau résultat.
Merci
Bonne journée.
Michel
Bonjour,
j'avais oublié le rapport combo fix que voila !
A+
Bonjour mgcountry
Désolé pour le délai d'attente, mais j'ai peu de temps disponible tous les jours.
Bon boulot.
Un peu de lecture pour te faire prendre conscience des lacunes d'avast du moment.
============================== =====
Ta version d'Emule vérolée est encore la :
Désinstalle la et supprime le fichier d'installation !!C:\Program Files\eMule\emule.exe -AutoStart Infected: Trojan-Downloader.Win32.Bagle.he
============================== =====
Supprime tes vieux mails dans ta boite outlook qui sont vérolés :
============================== =====C:\Documents and Settings\bastien\Local Settings\Application Data\Identities\{A8096195-4619-4EFB-AC30-E407C6916A06}\Microsoft\Outloo k Express\Éléments envoyés.dbx/[From "bastien" <bastienmalin@tiscali.fr>][Date Sat, 6 May 2006 10:47:16 +0200]/UNNAMED/setup.exe Infected: Trojan.Win32.Agent.cie skipped
C:\Documents and Settings\bastien\Local Settings\Application Data\Identities\{A8096195-4619-4EFB-AC30-E407C6916A06}\Microsoft\Outloo k Express\Éléments envoyés.dbx/[From "bastien" <bastienmalin@tiscali.fr>][Date Sat, 6 May 2006 10:47:16 +0200]/UNNAMED Infected: Trojan.Win32.Agent.cie skipped
Pour optimiser un peu ta machine :
Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :
Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck. exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.ex e
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDT ray.exe" /s
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
============================== =====
Refais un script ComboFix (CFScript) comme précédemment, mais avec ce code :
Procède comme précédemment en glissant le CFScript sur l'icone de ComboFix.Code:File::J:\Documents\Parents\logiciel_mg\vob en avi\yasa 3 7 55 1682 et crack\YASA 3GP Video Converter 3.7.55.1682.exe J:\Documents\Parents\logiciel_mg\x500\tomtom\TomTom.Navigator.6.201.Full.Cracked.All.PPC.Multilanguage-iND\setup.exe C:\Program Files\eMule\emule.exe Folder:: J:\Documents\Parents\logiciel_mg\vob en avi\yasa 3 7 55 1682 et crack J:\Documents\Parents\logiciel_mg\x500\tomtom\TomTom.Navigator.6.201.Full.Cracked.All.PPC.Multilanguage-iND C:\Program Files\eMule
Poste moi le rapport, un nouveau hijackthis, ainsi qu'un nouveau Kaspersky, suite à cette opération.
Comment se comporte ta machine ? As-tu toujours des dysfonctionnements ?
Bonne soirée
Bonsoir,
merci pour toute l'aide.
C'est vrai que ça va nettement mieux. Enfin, ca va bien maintenant. Je vais faire plus attention.
Voici la suite des scans en PJ.
Apparemment, il me reste quelque chose d'après Kaspersky. Mais minime.
Merci
Bonsoir,
Non tout va bien, c'est juste un Faux Positif de Kaspersky
Maintenant que nous avons fini la désinfection, tu peux supprimer les outils que je t'ai fait télécharger. Pense à passer par Ajout/Suppression de programmes pour réaliser un désinstallation propre des logiciels. Lorsque l'outil n'a crée qu'un Dossier, supprime ce dossier ainsi que le fichier que tu as téléchargé.
Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.Et voila, un nouveau point de restauration qui est a priori propre
- Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
- Coche la case "Désactiver le système de restauration..."
- Clique sur « Appliquer »
- Décoche la case "Désactiver le système de restauration..."
Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà
Bonne soirée
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Re : Malware Wintems ?? antivirus désactivé
Bonsoir,
je voudrais tout simplement dire M E R C I !
C'est vrai que ça se passe mieux. Je vais vraiment faire gaffe maintenant !
Bonne route à tous.
Michel
