Virus publicitaires et peut être d'autres virus!!!

[ghisco]

Bonjour,

J'ai un PC portable dont le système d'exploitation est le Windows XP familial.

Je permets de vous écrire parce que je suis envahit de sites publicitaires indésirables et gênants.
Je vous prie de vouloir m'aider.

En vous remerciant.

ghisco.

[yoda1234]

Bonjour et bienvenue sur FSG!

Je te prie de bien vouloir effectuer cette procédure destinée a effectuer, non seulement un pré-nettoyage, mais aussi un diagnostique.

[ghisco]

Citation:

Envoyé par yoda1234

Bonjour et bienvenue sur FSG!

Je te prie de bien vouloir effectuer cette procédure destinée a effectuer, non seulement un pré-nettoyage, mais aussi un diagnostique.

Bonsoir "yoda1234",

D'abord, merci pour ton inervention. Toute la procédure a été appliquée et je t'envoie le rapport du HijackThis.

Bonne soirée.

[igor51]

Bonsoir ghisco,

Voici la procédure à faire en entier, si dedans, il y a quelque chose que tu ne comprends pas, n'hésite pas à poser des questions.
Les rapports demandés seront recapitulés à la fin de la procédure et tous doivent être postés en pièce jointe

---------------------------------------------------------

Attention : Ton système ne dispose pas de Firewall, ce qui est très dangeureux ! Pour éviter de prendre une autre infection, il est indispensable que tu installes un firewall, je te conseille de choisir parmis les pare-feu suivants qui sont gratuits :

• Zone alarm
  
• kerio
• outpost

Si tu ne sais pas configurer, tu trouveras ci-dessous des aides :

• Tutorial pour kerio
• Tutorial pour Zone Alarm
• Tutorial pour Outpost Free

-------------------------------------------------------

La procédure est assez longue et elle va s'opérer en mode sans échec, tu n'auras donc pas accès à internet, il faut donc que tu conserves cette procédure sur ton ordinateur.
Si tu utilises Internet explorer:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
• Clique sur Enregistrer

Si tu utilises Firefox:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
• Clique sur Enregistrer

-------------------------------------------------------

Téléchargement des outils

Télécharge ATF Cleaner par Atribune.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Suppression des fichiers

Supprime le fichier en gras suivant :

C:\WINDOWS\mppds.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\cmdbcs.exe
C:\Documents and Settings\BEKALE~1\Local Settings\Temp\upxdnd.exe
C:\WINDOWS\system32\FD4DE036.EXE


Vide ta corbeille

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Utilisation d'HijackThis!

Lance HijackThis, choisis Do a scan only et coche les lignes suivantes:

Code:

O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [winform] C:\WINDOWS\winform.exe
O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [upxdnd] C:\DOCUME~1\BEKALE~1\LOCALS~1\Temp\upxdnd.exe
O23 - Service: FD4DE036 - Unknown owner - C:\WINDOWS\system32\FD4DE036.EXE (file missing)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Utilisation d'ATF-Cleaner

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Redémarre en mode normal.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Utilisation de Navilog1

Avant de commencer, lis la licence de Blacklight (F-Secure)
En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

Télécharge maintenant Navilog1.zip (Il Mafioso)
Enregistre-le sur ton Bureau.
Dézippe le contenu de l'archive en faisant un Clique droit sur Navilog1.zip puis en choisissant Tout Extraire.

Double clique sur Navilog1.bat.
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
/!\ N'utilise pas l'option 2,3 et 4 sans notre accord /!\
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous le rapport en pièce jointe

NOTE : Le rapport se trouve également ici : %root%\fixnavi.txt

-------------------------------------------------------

Dans ta prochaine réponse, poste moi les rapports suivants :

-> Navilog1
-> Un nouveau log HijackThis

Bonne soirée,
Igor

[ghisco]

Salut Igor,

Je m'excuse du retard de ma réponse.
J'ai essayé d'installer l'un des Firewall ke tu m'as proposé. Je g'assure ke c'est chaud à installer surtout ke ça boque toutes les connexions. J'ai essayé de m'appliquer par rapport comme démontré ds le tutorial mais rien à faire le firewall restait tjrs rigoureux sur ttes les connexions. Bref, comme je suis débuttant ds le monde informatique je te laisse imaginer mes souffrances. d'ailleurs j'ai essayé chac1 des firewalls à tours de rôle mais ça restait tjrs chaud pour moi. Donc je me ss mis à les désinstaller à chak fois.

Bref, pour les autres instructions je les ai appliquées à la lettre. mais j'ai pas trouvé les fichiers suivants (en tt cas ça n'y existe plus ):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Supprime le fichier en gras suivant :

C:\WINDOWS\mppds.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\cmdbcs.exe
C:\Documents and Settings\BEKALE~1\Local Settings\Temp\upxdnd.exe
C:\WINDOWS\system32\FD4DE036.EXE


Vide ta corbeille

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

Et c'est pareil dans HijackThis! car il n'y avait plus les lignes suivantes

Code:

O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [winform] C:\WINDOWS\winform.exe
O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [upxdnd] C:\DOCUME~1\BEKALE~1\LOCALS~1\Temp\upxdnd.exe
O23 - Service: FD4DE036 - Unknown owner - C:\WINDOWS\system32\FD4DE036.EXE (file missing)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~

De plus j'ai tjrs les sites publicitaires ki apparaissent tjrs.

Merci et Bonne fin de journée.

Ghisco.

{Excuses moi je ne peux pas t'envoyer les fichiers ke tu mas demandé, car lorske je clique sur joindre, rien ne se passe. J'ignore pourkoi ça le fait }

[ghisco]

Voici ce ki est marké sur "hijackthis":

Logs effacés, merci Igor51!

Désolé, ce n'estke par ce moyen ke je peux t'envoyer les rapports. De plus, je ne peux mm pas effectuer la sélection des couleurs.

Encore désolé.

ghisco.

Pour ghisco: Merci d'éviter le langage SMS, comme le dit notre charte.

yoda1234.

[igor51]

Bonsoir,

Ce n'est pas grave, voici la suite de la procédure :

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Double clique sur Navilog1.bat.
Choisis maintenant l'option 2 puis valide.
Laisse toi guider et réponds aux questions éventuelles.

Réponds aux questions éventuelles.
Ton bureau va disparaître, c'est normal !

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver en mode normal.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
Redémarre normalement puis poste le rapport sauvegardé auparavant.

NOTES :

• Le rapport se trouve également ici : %root%\cleannavi.txt
• Si ton Bureau ne réapparaît pas, fais ceci :
  -> Clique simultanément sur Ctrl + Alt + Suppr.
  Clique sur l'onglet Fichier puis choisis Nouvelle tâche.
  Tape Explorer puis valide.
  -> Choisis Exécuter..., tape Explorer puis valide.

POste moi le rapport en pièce jointe

Bonne soirée,
Igor

PS modo: j'ai récupéré les log et mis en pièce jointe

[ghisco]

Bonjour,
Tout d'abord mes sincères excuses pour ce retard parce que j'étais en déplacement. Puis, j'ai bien reçu la remarque concernant le langage sms.

Igor, comme convenu je t'envoie le rapport.

Merci et bonne fin de journée.
ghisco.

[igor51]

Bonsoir ghisco,

Pas de problème, prend bien tout ton temps

As-tu encore des problème?

Poste moi un nouveau log Hijackthis ainsi que :

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Bonne soirée,
Igor

[ghisco]

Bonsoir,

Tout semble être OK.

Igor, je te remercie beaucoup.

Voila je t'envoie les rapports demandés. De plus j'ai constaté que mon ordinateur a encore des virus et il est toujours infecté.

Bonne soirée.

ghisco.

[igor51]

Bonjour ghisco,

Pas de problème, les fichiers trouvés sont dans la restauration système.

Un dernière vérification

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.


*
Option 1

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

Poste le rapport en pièce jointe dans ta prochaine réponse.

Bonne journée,
Igor

[ghisco]

Bonjour Igor,

Comme convenu je t'envoie le rapport du SmitfraudFix.

Merci et bonne fin de journée.

Ghisco.

[igor51]

Bonsoir ghisco,

Voici ce que tu vas faire :

Citation:

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

Attention /!\ Au redémarrage, redémarre en mode sans échec en tapotant F8 (ou F5)

Une fois en Mode sans échec, double-clique sur SmitfraudFix.exe
Selectionne l'option #2 - Nettoyage en tapant 2 et appuie sur "Entrée" pour supprimer les fichiers infectés.

A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu..

Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.; si ce n'est pas le cas, redémarre en mode normal manuellement.
Un rapport sera généré, avec les résultats de l'opération de nettoyage; poste ce rapport dans ta prochaine réponse.
Le rapport peut être trouver à la racine du disque système, souvent C:\rapport.txt

Attention : L'option 2 pourra supprimer le fond d'écran.

Poste moi le rapport dans ta prochaine réponse, pense à décocher la case de la restauration système aussi.

Bonne soirée,
Igor

[ghisco]

Bonsoir Igor,

Comme convenu je t'envoie le rapport. Mais je souligne qu'effectivement l'option 2 m'a supprimé le fond d'écran du bureau.

Bonne soirée.
ghisco.

[igor51]

Bonjour,

As-tu encore des problèmes?

Sinon, je t'encourage vivement à lire le dossier de prévention pour ne plus que cela t'arrive.

Bonne journée,
Igor

[ghisco]

Bonjour,

Sinon pour le moment je n'ai plus de problèmes.
Pour la procédure de prévention je l'avais déjà lu et appliquée.

Merci pour tout.

Ghisco.