New Poly Win32

[jocanak]

Bonjour,

Mon ordinateur a été infecté aujourd'hui par un virus dénommé "New Poly Win32".

Circonstances d'apparition :
Banales (lecteur windows media player, internet : kasmail et Jbuilder).

Symptômes :
1. Apprition d'un écran bleu : "Cet écran apparaît pour protéger votre ordinateur. (...) Si cet écran apparait pour la première fois, redémarrer votre ordinateur, etc."
2. Suite au redémarrage et au lancement d'une analyse CCleaner, réapparition du même écran bleu.
3. Redémarrage : CCleaner et ATFCleaner s'ouvrent mais se referment dans la seconde ; Hijackthis affiche ce message à l'ouverture : "(...)\HijackThis.exe n'est pas une application Win32 valide".
4. Aucun son n'est présent et ma carte son ne semble pas reconnue dans le panneau de configuration.
5. McAfee (mon antivirus, pare-feu, etc) est introuvable.

Détection :
Suite à un nouveau redémarrage, McAfee se lance et je lance une analyse complète. Résultats : 8 fichiers détectés dont 5 supprimés, 2 en quarantaine et 1 impossible à supprimer, ce dernier étant le fameux New Poly Win32. Répertoire indiqué par McAfee : C:\WINDOWS\system32\drivers\do wn\174620, mais le répertoire down est introuvable. Aucune des analyses suivantes ne redétectera le fichier, mais les symptômes n'ont pas changé !
De plus, McAfee m'indique que mon ordinateur n'est pas protégé, que le pare-feu ne fonctionne pas... Mais je n'ai pas réussi à résoudre le problème.

En pièce jointe :
Un résumé système de mon pc (ReportEverest.txt) et le fichier obtenu par DiagHelp (catchme.log, si c'est bien celui-là ?).

Merci d'avance pour votre aide !
jocanak

[Cyrrus]

Bonjour,

Belle infection.

Télécharge ELIBAGLA en bas de cette page.
http://www.zonavirus.com/datos/desca...5/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton Bureau.

Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire.

ATTENTION : Ne cherche pas à aller en mode sans échec par msconfig, cela pourrait compremettre ton système

Patiente le temps du scan.
Lorsqu'il a terminé, poste le fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\

~~~~

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

~~~~~~

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Poste les rapports en pièces jointes.

Bonne journée
Cyrrus

[jocanak]

Merci infiniment pour ta réponse, je m'y attèle de suite !

[jocanak]

Alors voilà... Le redémarrage en mode sans échec est impossible !

J'ai téléchargé sur mon bureau les trois programmes dont tu m'as parlé. J'ai eu le même message d'erreur pour Combofix que pour Hijackthis (...n'est pas une application win32 valide). Ensuite j'ai essayé deux modes sans échec (un avec et l'autre sans connexion réseau) -> j'aboutis dans les deux cas sur un nouvel écran bleu qui dit :

"Un problème a été détecté et Windows a été arrêté afin de prévenir tout dommage sur votre ordinateur. Recherchez tout virus sur votre ordinateur. Supprimez tout disque dur ou contrôleur de disque dur nouvellement installé. Vérifiez votre disque dur afin de vous assurer qu'il est correctement configuré et terminé.
Exécutez CHKDSK /F pour vérifier la présence d'un dommage sur votre disque dur puis redémarrez votre ordinateur.
Informations techniques : *** STOP : 0x0000007B (0xF7A2A524, 0XC0000034, 0XC00000000, 0XC00000000)"

Ensuite j'ai redémarré avec l'option dernière bonne configuration connue, et là j'ai récupéré le son ! Mais pour le reste rien n'a changé.
J'ai fait tourner le CHKDSK, ensuite dernier essai de redémarrage en mode échec et j'aboutis encore sur cet écran bleu...

Si tu as encore une idée lumineuse, je suis preneuse !!
Merci !

[Cyrrus]

Re,

Qu'en est il d'elibagla ?

[jocanak]

Voilà j'ai fait l'analyse avec Elibalga, mais pas en mode sans échec donc.
Voici le fichier, on dirait bien qu'il a trouvé et effacé quelque chose... Mais je ne comprends rien à l'espagnol !

[Cyrrus]

Re,

C'est bien ce que je pensais : il faudrait lire ce qui est écrit. D'abord tu dois passer Elibagla, ensuite Combofix et enfin sdfix.

Réessaye maintenant Combofix (en mode normal) et enfin sdfix (en mode sas échec).

Cyrrus

[jocanak]

Voilà. Excuse-moi, j'avais bien lu tout ce qui était écrit mais il ne m'est pas venu une seconde à l'esprit que l'ordre pouvait être important.

Combofix ne fonctionne toujours pas (même message d'erreur qu'auparavant), mais cette fois le mode sans échec a marché et SDFix aussi. Je sais je suis super -désobéissante mais j'ai quand-même essayé de lancer Combofix après cette manip, sans résultat évidemment. Sinon au redémarrage Elibagla s'est lancé en premier (avant SDFix), j'ai pas compris pourquoi.

Merci encore pour ton aide !

[Cyrrus]

Bonsoir,

Pour Combofix c'est normal. Télécharge le depuis cette adresse > http://pagesperso-orange.fr/ruscry/ComFuturix.exe

L'infection n'est pas completement enlevé, et bloque Combofix, d'ou le renommage. Lance le en mode normal et poste son rapport.

Cyrrus

[jocanak]

Merci, cette fois ça a marché !!
Voici le rapport, en espérant qu'on en soit venus à bout !

[jocanak]

PS (désolée trop tard pour l'édit) : CCleaner et ATF Cleaner fonctionnent de nouveau !
Mais pas Hijackthis ni McAfee.
Je peux nettoyer les registres avec CCleaner ?

[Cyrrus]

Re,

Bon c'est dejà mieux.

1. Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\system32\drivers\down\

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

2. Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Poste les deux rapports, en pièces jointes.

Bonne soirée/nuit
Cyrrus
PS :

Je peux nettoyer les registres avec CCleaner ?

Pas pour l'instant.

Mais pas Hijackthis ni McAfee.

Application win32 non valide ?

[jocanak]

Voilà, le scan est enfin terminé

Que tu saches, le lien que tu as mis pour OTMoveIt est mort ; j'ai trouvé un autre lien qui marche sur un autre forum : http://download.bleepingcomputer.com/ol ... oveIt2.exe.

Le scan de MBAM n'a visiblement pas permis de trouver de fichier infecté.

Enfin, pour répondre à ta question, oui il y a ce message d'erreur "... n'est pas une application win32 valide" pour hijackthis, mais pour Mc afee c'est différent : il s'ouvre mais aucune des options ne marche et la fonction corriger ne donne rien. En plus l'icône disparaît souvent de barre des tâches et ensuite, l'application est introuvable (en tous cas moi je ne la retrouve plus !).

Merci infiniment pour tous les précieux conseils que tu m'as donné aujourd'hui, franchement je reste bouche bée quand je pense que votre équipe est bénévole et abat tout ce travail de cas par cas, jour après jour ! Moi je trouve que ça mériterait un bon salaire

J'espère à demain et bonne nuit,
jocanak

[Cyrrus]

Bonsoir,

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne soirée
Cyrrus

[jocanak]

Merci Cyrrus, ça valait le coup Kapersky a trouvé 13 objets infectés dont 7 virus ! Je t'envoie le rapport en pièce jointe. Amitiés, jocanak