autre PC infecté trojan vundo AK

[maridu]

bonsoir !
me revoilà sur le forum pour un nouveau souci d'infection par trojan, mais cette fois sur le pc utilisé exclusivement par ma fille...
en fait, je me suis dit que si elle avait pu "contaminer" le pc principal de la maison.... le sien n'était ss doute pas indemne de toute infection...
et bien sûr ça n'a pas raté !!!!!
j'ai pu suprimer pas mal de saletés à l'aide d'antivir, mais il reste un trojan vundo que je n'arrive pas à supprimer...
je joins le rapport hijack en pj, ainsi que le catch me de diaghelp, mais je n'ai pas pu aller au bout de ce dernier, malgré plusieurs essais... j'ai un msg d'erreur, et ça fait comme si le prog "tournait sur lui même".... les mêmes phrases se répètent sans jamais que le processus arrive au bout
j'ai ces lignes :
removing drive spec 'C:' from path names in the archive
removing leading '/' from absolute path names in the archive
cannot add file >, no such file or directory (ENOEN)
error exit delayed from previous errors

puis à nouveau les 2 premières lignes "indéfiniment".... ?

merci d'avance de votre aide....

marie

[igor51]

Bonsoir


Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne journée

[maridu]

rebonsoir !

voilà la suite pour le second PC...

merci et bon dimanche !

marie

[igor51]

Bonjour

Télécharge FindAWF:
http://noahdfear.net/downloads/FindAWF.exe

Sauvegarde le fichier sur ton Bureau.
Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 1 then Enter to scan for bak folders
Le scan peut prendre un peu de temps, donc soit patient.

Quand il a fini, un rapport Find AWF report est généré.
Poste ce rapport Find AWF report dans ta prochaine réponse.

Bonne journée

[maridu]

rebonsoir Igor !
voilà le rapport AWF...
bonne soirée et encore merci de ton aide !
marie

[igor51]

Bonsoir

Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 2 then Enter to restore files from bak folders
Appuie sur une touche pour poursuivre.


Un fichier texte s'ouvre appelé : files.txt
Clique en dessous de la ligne et colle la liste de fichiers qui suit :

"C:\hp\KBD\bak\KBD.EXE"

"C:\Program Files\Microsoft Works\bak\WkDetect.exe"

"C:\Program Files\Microsoft Works\bak\WksSb.exe"

"C:\WINDOWS\SYSTEM\bak\hpsysdr v.exe"

"C:\WINDOWS\SYSTEM32\bak\hkcmd .exe"

"C:\WINDOWS\SYSTEM32\bak\igfxt ray.exe"

"C:\WINDOWS\SYSTEM32\bak\ps2.e xe"

Ensuite, ferme le fichier et clique sur Yes pour sauvegarder les changements.

Une fois que le fichier files.txt est sauvegardé, FindAWF fait ce qui suit:
-Il stoppe les processus nommés dans la liste précédente, si ceux-ci tournent.
-Supprime les rogues dans le dossier parent si présent.
-Copie le fichier original dans le dossier parent.

Quand il aura terminé toutes ces opérations, il commencera automatiquement un noveau scan et ouvrira un nouveau rapport.
Poste ce nouveau rapport FindAWF dans ta prochaine réponse.

Bonne soirée

[maridu]

bonsoir Igor,
voilà le nouveau rapport AWF... j'ai l'impression que c'est le "même" que celui de la semaine dernière, non ?
bon en même temps c'est du "chinois" pour moi...
merci tout plein et bonne soirée !
marie

[maridu]

re...!
j'ai 1 question subsidiaire... est ce qu'on peut se servir de ce PC sans risquer d'infecter qqun d'autre ?
ma fille "désespère".... enfin c'est relatif .... mais je ne la laisse pas l'utiliser pour le moment, tout au moins tant que je ne serais pas sûre...
et bien sûr je lui ai fait lire le dossier "proteger son ordinateur" !
encore merci !
marie

[maridu]

bonsoir à tous !

je me permets un petit "up"... même je sais bien que vous n'êtes pas nombreux en ce moment...
c'est juste que ma fille "trépigne" ... peut-elle utiliser son PC (tant que la désinfection n'est pas terminée, ce qui est le cas je crois....) sans risquer d'infecter ses contacts ou de se faire pirater des données ?
si le seul "risque" est le ralentissement du système, je peux l'autoriser à surfer un peu de nouveau... mais si c'est plus grave on patientera encore sans problème.... déjà bien contentes que vous soyez OK pour nous aider !

bonne soirée
marie

[igor51]

Bonsoir

tu as bien fait de faire un "up"

Elle n'infectera pas ses contacts, donc pas de problème

Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 3 then Enter to remove bak folders

Un fichier texte s'ouvre appelé : folders.txt
Clique après la ligne et colle la liste de dossiers qui suit :

Code:

 C:\hp\KBD\bak\KBD.EXE

C:\Program Files\Microsoft Works\bak\WkDetect.exe

C:\Program Files\Microsoft Works\bak\WksSb.exe

C:\WINDOWS\SYSTEM\bak\hpsysdrv.exe

C:\WINDOWS\SYSTEM32\bak\hkcmd.exe

C:\WINDOWS\SYSTEM32\bak\igfxtray.exe

C:\WINDOWS\SYSTEM32\bak\ps2.exe

Ensuite, ferme le fichier et clique sur Yes pour sauvegarder les changements.

Une fois que folders.txt a été sauvegardé, FindAWF fait ce qui suit :
-Il supprime le contenu des dossiers bak
-Supprime les dossiers bak

Quand il a fini ces opérations, il lancera automatiquement un nouveau scan et un nouveau rapport sera généré.
Poste dans ta prochaine réponse ce nouveau rapport FindAWF.

Fais aussi cecei;


Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne soirée

[igor51]

RE,

le fichier a copié/collé est :

Code:

C:\hp\KBD\bak\
C:\Program Files\Microsoft Works\bak\
C:\Program Files\Microsoft Works\bak\
C:\WINDOWS\SYSTEM\bak\
C:\WINDOWS\SYSTEM32\bak\
C:\WINDOWS\SYSTEM32\bak\
C:\WINDOWS\SYSTEM32\bak\

Désolé^^

[maridu]

bonsoir !
voilà les 2 rapports... je crois que c'est bon cette fois... je croise les doigts...
j'attends ton feu vert pour désinstaller les outils de suppression que j'ai chargés pour me défaire de la bestiole, et pour créer un point de restauration propre...
et toute autre manip utile !
vraiment merci pour tout Igor !!
marie

[igor51]

Bonjour

Je vais juste te demander un dernier scan, unpeu long, mais pour enlever les dernières traces et ensuite, ce sera ok



Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Bonne journée

[maridu]

bonsoir Igor !
j'ai fait le scan MBAM en mode ss échec, et apparemment il n'y avait plus rien à supprimer.... yesss !
je te joins qd même le rapport que tu puisses vérifier...
j'attends tes dernières instructions, en te remerciant encore de ton aide !
bon WE !
marie

[maridu]

avec le rapport c'est mieux !