new win32

[yvan88]

Bonjour,

J'ai récupéré un visiteur indésirable dont j'ignore l'origine exacte, mais il a passé mes firewalls et trompé mon antivirus qui me l'a cependant signalé sous le nom de new Win32.
Les symptômes ne sont pas très clairs. Apparemment il m'a détruit quelques .exe comme notepad.exe ou néro.exe par exemple et quelques .dll. Cependant le système reste stable.

Ci-joint les fichiers demandés.

D'avance, je vous remercie pour votre aide.

[yvan88]

Pour compléter les symptômes pas clairs auxquels je faisais allusion dans mon post précédent, voici un exemple précis.
Si je veux accéder à Démarrer --> Programmes --> Accessoires --> Paint un message m'avertit que le raccourci n'est plus valide et si je demande à le réparer, on me propose mspaint.exe dans C:\WINDOWS\ServicePackFiles. Si je copie le fichier de ce répertoire et le colle dans C:\WINDOWS\system32,le raccourci fonctionne à nouveau dans le menu.
J'ai le même problème et la même solution avec rundll32.exe qui m'empêchait d'accéder à Panneau de Configuration --> Affichage. Et là je constate que mon économiseur d'écran préféré à disparu.
Très subtil ce p... de malware !!!!

Merci pour votre aide.

[igor51]

Bonsoir

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

[yvan88]

Bonjour Igor,

Merci pour ton aide.

Ci-joint le log de mbam demandé.

[igor51]

Bonsoir

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

[yvan88]

Bonjour,

Impossible de télécharger ComboFix.exe depuis ma machine qui me signale que je n'ai pas les droits pour écrire sur le bureau. McAfee me signale un trojan Generic Artemis. Un nouvel essai m'affiche une page Fichier non trouvé.
Finalement, j'ai téléchargé ComboFix depuis une machine sous Linux (sans problèmes) et je l'ai transféré par le réseau local sur le bureau Windows. Désactivé le firewall Windows puis McAfee. Double-click, le fenêtre de chargement s'affiche puis plus rien.

McAfee vient de m'isoler : xccdfb16_090131.dll, nom de détection GenericPWS.y. J'ai réinstallé quelques applications qui ont l'air de tenir le coup et le système est toujours stable.

Je ne sais pas si ça vaut le coup de perdre notre temps, surtout le tien. J'ai l'impression que cela va se terminer par un formatage. Qu'en penses-tu ?

[igor51]

Bonjour,

je pense que tu peux quand même passer COmbofix si tu comptes garder ton système comme cela. Si tu veux formater, alors oui ça ne sert à rien de passer combofix^^
La comme ça, je ne sais pas trop ce que tu as et le scanne avec combofix pourrait m'en apprendre plus.

[yvan88]

Bonjour,

Désolé, je ne peux pas passer ComboFix. Seule la fenêtre de chargement s'affiche puis plus rien. A moins que je n'ai loupé une étape.
Si tu as une autre solution, je suis prêt à essayer.

[igor51]

Bonjour,

On va essayer autrement alors :

Télécharge Dr Web Cure it

• Double clique sur drweb-cureit.exe puis sur Analyse. Accepte le scan rapide en cliquant sur Ok.
• Le programme va scanner la mémoire ton pc. Clique sur Oui pour supprimer ce qu'il te trouve. Cela ne devrai pas prendre longtemps.
• Une fois cela fait, clique sur Tous les disques durs.
• Clique sur la flèche verte à droite, en dessous du logo. Le scan va démarrer.
• Choisis "Oui pour tous" s'il te demande de nettoyer/déplacer (cure/move) les fichiers trouvés.
• Une fois le scan finis, tu devrais pouvoir cliquer sur cette icône =>
• Clique ensuite sur l'icône suivant et sélectionne "Move incurable".
  
• Une fois cela fait, fait Fichier - Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Il devrait se nommer DrWeb.csv.
• Redemarre ton ordinateur, car des fichiers peuvent necessiter un redemarrage pour être supprimés.
• Poste le contenu du rapport en pièces jointes (pense à renommer DrWeb.csv en DrWeb.txt).

[igor51]

Bonjour,

On va essayer autrement alors :

Télécharge Dr Web Cure it

• Double clique sur drweb-cureit.exe puis sur Analyse. Accepte le scan rapide en cliquant sur Ok.
• Le programme va scanner la mémoire ton pc. Clique sur Oui pour supprimer ce qu'il te trouve. Cela ne devrai pas prendre longtemps.
• Une fois cela fait, clique sur Tous les disques durs.
• Clique sur la flèche verte à droite, en dessous du logo. Le scan va démarrer.
• Choisis "Oui pour tous" s'il te demande de nettoyer/déplacer (cure/move) les fichiers trouvés.
• Une fois le scan finis, tu devrais pouvoir cliquer sur cette icône =>
• Clique ensuite sur l'icône suivant et sélectionne "Move incurable".
  
• Une fois cela fait, fait Fichier - Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Il devrait se nommer DrWeb.csv.
• Redemarre ton ordinateur, car des fichiers peuvent necessiter un redemarrage pour être supprimés.
• Poste le contenu du rapport en pièces jointes (pense à renommer DrWeb.csv en DrWeb.txt).

[yvan88]

Bonsoir,

Le log demandé.

[igor51]

Bonsoir

As-tu encore les alertes pour ce Malware ? Si oui, est-ce que tu as le chemin du fichier infectieux ?

[yvan88]

Bonsoir,

Non plus d'alerte.
Le fichier infectieux se trouvait dans System32.

[yvan88]

Bonjour,

Une analyse de mon disque C: de cette nuit me donne le résultat ci-joint

[igor51]

Bonsoir

Est-ce que tu cliquais sur le premier item de ce que te trouve ton antivirus ? ( Programme potentiellement dangereux je pense )

Pour le reste pas d'inquiétude, on le supprimera dès que tu m'auras répondu ( ils ne sont pas dangereux )