virus Torpig

[Pilousmi]

Bonjour,

L'icone de Avast mail apparait dans la barre systeme signalant une activité alors que je n'envois aucun mail.
Un scan avec Spybot a permis d'identifier le probleme mais pas de le résoudre, meme en mode sans echec. Enfin c'est déja ça ^^.
Comme indiqué dans le dossier des malwares, j'ai scanné mon disque avec HijackThis et RKUnHooker dont je vous joint les rapports.
Cordialement

[igor51]

Bonjour et Bienvenu sur Futura !

Voici ce que tu va faire :

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Poste le rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

---------------------------------------------------------------------------

Télécharge DiagHelp.zip sur ton bureau

• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
• Un nouveau dossier va être créé , il se nomme DiagHelp
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
• Une fenêtre va s'ouvrir, choisis l'option 1
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
• A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note..
• Poste le rapport qui s'affiche dans ton prochain post.

Poste moi les rapports suivants dans ta prochaine réponse.

-> Le rapport de Vundofix
-> un nouveau log Hijackthis
-> le rapport de Diaghelp

Bonne journée

[Pilousmi]

Re,
Voila les 3 rapports demandés et merci pour ton aide

[igor51]

Bonjour,

on continue la désinfection :

Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegarde-le sur ton Bureau.

Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

NoteNe pas cliquer dans la fenêtre de combofix durant le passage de l'outils.



Dans ta prochaine réponse, j'attends les rapports suivants :

-> Les deux rapports générés par RustBfix
-> Le rapport de Comfix
-> un nouveau log Hijackthis

Bonne journée

[Pilousmi]

Re,

Voila la suite, ça a l'air d'aller mieux ....
Merci encore
a+

[igor51]

Bonjour Pilousmi,

Si ça commence à aller mieux,a lors c'est good

Voici la suite des opérations :

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

   C:\WINDOWS\system32\tntmkuhj.exe
  

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

---------------------------------------------------------------------------

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

---------------------------------------------------------------------------

Poste moi les deux rapports générés dans ta prochaine réponse, ainsi qu'un nouveau log Hijackthis.


Bonne journée

[Pilousmi]

Bonjour igor51,

OtMoveIt ne trouve rien dans C:\WINDOWS\system32\tntmkuhj.e xe, donc pas de rapport.

Je te joins les 2 autres rapports.

Bon dimanche

[igor51]

Bonjour Pilousmi,

On va refaire deux scans déja fait pour plus de sécurité :

Recommence l'opération avec Vundofix et avec Diaghelp ( c'est exactement les même manipulation que dans mes posts précédent )

et fais ceci en plus :

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi les trois rapports suivant :

-> le rapport de Vundofix
-> Le rapport de Diaghelp option 1
-> Le rapport de kaspersky

Bonne journée

[Pilousmi]

Re,

Et voilou la suite des 3 rapports.

A plus tard

[igor51]

Bonjour,

On a bientôt fini

• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\System32\rqstv.ini 
  C:\WINDOWS\System32\rqstv.bak1
  C:\WINDOWS\System32\ibripocr.ini
  C:\WINDOWS\System32\kjkkj.ini 
  C:\WINDOWS\System32\sxstcgib.ini
  C:\WINDOWS\System32\kjkkj.bak2
  C:\WINDOWS\System32\xqdeourj.ini
  C:\WINDOWS\System32\hjbktugv.ini
  C:\WINDOWS\System32\kjkkj.bak1
  C:\WINDOWS\System32\bhyqigqt.ini
  C:\WINDOWS\System32\seftiilu.ini
  C:\WINDOWS\System32\aufvsnnv.ini
  C:\WINDOWS\System32\6599C081.exe
  C:\WINDOWS\System32\5C0DF750.exe
  

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse


As-tu toujours des problèmes ?

Bonne journée

[Pilousmi]

Re,

La manip s'est bien passée et voila le rapport qui s'ensuit.

Il semblerait que le nettoyage en profondeur soit tout bénef, mon PC se joint à moi pour te faire un grand merci

Bonne aprem

[igor51]

Re,

on va donc pouvoir conclure

---------------------------------------------------------------------------

• Lance OTmoveIT.
• Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
  NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
• Une liste apparait dans la partie gauche d'OTmoveIT.
• Un message apparait pour confirmer le nettoyage. Confirme.

Maintenant que nous avons fini la désinfection, tu peux supprimer les outils que je t'ai fait télécharger. Pense à passer par Ajout/Suppression de programmes pour réaliser un désinstallation propre des logiciels. Lorsque l'outil n'a crée qu'un Dossier, supprime ce dossier ainsi que le fichier que tu as téléchargé.


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Citation:

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

---------------------------------------------------------------------------

Bonne journée

[Pilousmi]

Re,

Voila qui est fait, c'est clean now !!

Note que le boulet de pare feu de windows ne m'a pas demandé d'autoriser OTMoveIt

Encore merci

Bonne soirée