infection par un malware (spylocked)

[invite2624d633]

Bonjour,
en essayant d'installer un antispyware sur mon PC, je me retrouve infectée par spylocked (enfin je crois). Les symptômes sont une icone qui clignote en bas et qui m'envoie vers un site pour acheter des antispyware. Ce site est qualifié de dangereux par mon antivirus (spyware terminator) donc je n'y rentre pas.
J'ai réussi à enlever un autre symptome (le changement de ma page de démarrage) grâce à une astuce trouvée sur internet (à l'aide de smitfraudfix), mais la foutue icone (un point d'interrogation qui clignote et qui me dit "system alert votre ordinateur est infecté" toutes les deux minutes) ne part jamais...
J'ai effectué les opérations indiquées dans votre dossier au lien http://www.futura-sciences.com/compr...ssier701-6.php
Je vous mets donc en pièce attachée les deux rapports.

Merci de m'aider à terminer de résoudre le problème !!

[yoda1234]

Bonjour,

non, tu as mal compris...

Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 4 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure

En résumé tu dois poster les rapports de:

• DiagHelp : inspection des dossiers clés
• Hijackthis : analyse des points clés du système

Édit: Bienvenue pour ton premier message.

[invite2624d633]

OK voici les deux rapports en pièces jointes.

[invitebf5cd8b2]

Bonsoir lilisa,

J'ai bien lu que tu avais utilisé Smitfraudfix...

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

Poste le rapport en pièces jointes.

Bonne soirée
Cyrrus

[A voir en vidéo sur Futura]

[invite2624d633]

Voilà le rapport,
(merci de ton aide...)

[invitebf5cd8b2]

Re,

Il faudrait que tu envoies un fichier sur un serveurs pour qu'il soit analysé. Cela permettra à Siri (le dev de Smitfraudfix) d'améliorer son outil.

1. Rends toi ici => http://secubox.gateweb.org/mad.php

Copie/colle le chemin du fichier dans la zone (juste à coté de "Parcourir").

Code:

C:\WINDOWS\system32\ilmpjy.dll

Dans la zone de description, met le lien de ton sujet :

http://forums.futura-sciences.com/thread142300.html


Puis clique ensuite sur Envoyer.

2.

Avant de commencer, lis la licence de Blacklight (F-Secure)
En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

Télécharge maintenant Navilog1.zip (Il Mafioso)
Enregistre-le sur ton Bureau.
Dézippe le contenu de l'archive en faisant un Clique droit sur Navilog1.zip puis en choisissant Tout Extraire.

Double clique sur Navilog1.bat.
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
/!\ N'utilise pas l'option 2,3 et 4 sans notre accord /!\
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous le rapport en pièce jointe

Je m'occuperai de Smitfraud demain, je suis très pris ce soir.

Bonne soirée
Cyrrus

[invite2624d633]

Merci encore de ton aide, j'ai fait tout ce que tu as dit, voilà le rapport,

[invitebf5cd8b2]

Re,

Pour s'occuper de navipromo :

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Double clique sur Navilog1.bat.
Choisis maintenant l'option 2 puis valide.
Laisse toi guider et réponds aux questions éventuelles.

Réponds aux questions éventuelles.
Ton bureau va disparaître, c'est normal !

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver en mode normal.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
Redémarre normalement puis poste le rapport sauvegardé auparavant.

NOTES :

• Le rapport se trouve également ici : %root%\cleannavi.txt
• Si ton Bureau ne réapparaît pas, fais ceci :
  -> Clique simultanément sur Ctrl + Alt + Suppr.
  Clique sur l'onglet Fichier puis choisis Nouvelle tâche.
  Tape Explorer puis valide.
  -> Choisis Exécuter..., tape Explorer puis valide.

Je m'occupe de Smitfraud demain.

Merci pour l'upload

Cyrrus

[invite2624d633]

Ok c'est fait, ci-joint le rapport,
mais l'icône clignotante est toujours bien là..........

[invitebf5cd8b2]

Bonjour lilisa,

mais l'icône clignotante est toujours bien là.........

Je m'occupe de Smitfraud demain.

1.

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

2. Fais Demarrer > Executer et tape :

Code:

regsvr32 /u C:\WINDOWS\system32\ilmpjy.dll

Valide par Entrée.

3. Supprime les fichiers suivant :

C:\WINDOWS\system32\ilmpjy.dll
C:\WINDOWS\unvise32qt.exe


4. Crée un fichier texte (Bloc Note) et copie colle à l'intérieur ce qui suit :

Code:

REGEDIT4


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{4233ac08-a2c4-4742-a0b4-83719613d62c}"=-

[-HKEY_CLASSES_ROOT\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}]

[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}]

Enregistre le sous le nom fix.reg

Double clique sur fix.reg et accepte le fusionnement avec la base de registre.

5. Télécharge Rogue Remover
Installe le. Met le à jour en cliquant sur "Check for Updates".
Clique ensuite sur Scan, et s'il trouve quelque chose clique sur Remove Selected.

6.

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi le rapport de Kaspersky, ainsi qu'un nouveau rapport de Smitfraudfix option 1 et un nouveau Diaghelp option 1, le tout en pièces jointes.

Bonne journée
Cyrrus

[invite2624d633]

Bonjour cyrrus !

Je bloque à l'étape 3 :
j'ai bien détruit C:\WINDOWS\unvise32qt.exe
mais l'ordinateur ne me laisse pas détruire C:\WINDOWS\system32\ilmpjy.dll

au lieu de le détruire une fenêtre s'ouvre avec écrit "cannot delete ilmpjy: access is denied, make sure the disk is not full or write-protected and that the file is not currently in use".
J'en reste donc à l'étape 3 et j'attends tes instructions.
J'ai fait ce que tu m'as dit dans le message privé.
Bises

[invite2624d633]

Je viens de refaire le processus, en fait c'est à l'étape 2 que ça bloque.
L'ordinateur m'envoie le message suivant :

"C:\WINDOWS\system32\ilmpjy.dl l was loaded but the dllunregisterserver entry point was not found. dllunregisterserver may not be exported, or a corrupt version of C:\WINDOWS\system32\ilmpjy.dll may be in memory. Consider using Pview to detect and remove it."

J'ai cliqué sur OK puis je suis passée à l'étape 3 et je n'ai pas réussi à détruire le fichier.
J'attends tes instructions.

[invitebf5cd8b2]

Re,

Je passe en coup de vent :

Pour supprimer le fichier récalcitrant, passe en mode sans échec, et supprime le.

Il y a encore quelques processus infectieux, on s'en occupera.

++
edit : on se croise...pour l'étape 2 ce n'est pas grave, passe à la suite.

[invite2624d633]

Ca ne marche pas !
Il refuse de le supprimer, même en mode sans échec, il me renvoie toujours le même message "cannot delete ilmpjy: access is denied, make sure the disk is not full or write-protected and that the file is not currently in use".
Il est corriace....
Qu'est-ce que je dois faire ?