ordi infecte!

[invitec4b9e359]

bonsoir.
voici mon probleme,apres avoir fais une analyse anti virus en ligne via kapersky,il detecte un virus dans mon pc! etant dejà protégé par avast et lui ne detecte rien.

je n'arrive pas à joindre le rapport d'analyse. pourriez-vous m'aider? merci
-----

[Cyrrus]

Bonsoir jen,

Effectue je te prie la procedure preliminaire. Poste les rapports en pieces jointes.

Pour la mise en pièces jointes : voir ici

Bonne soirée/nuit
Cyrrus

[invitec4b9e359]

------------bonjour voici le rapport d'AVG ça a ete long plus d'hune heure.--et celui de KASPERSKY

j'espere que celà devrait aller,je ne suis pas tres doue pour celà.

merci

Il faut mettre les rapports en pièce jointe (je l'ai fait)

JPL, modérateur

[invitec4b9e359]

c'est encore moi.

j'ai un logiciel qui vient de s'installer sur mon PC qui est:

SPYWARE REMOVAL WIZARD , il est persistant et revient à chaques connexions.

merci pour vos reponses.

[A voir en vidéo sur Futura]

[JPL]

Condoléances ! Nos désinfecteurs vont avoir un peu de travail.

[invitec4b9e359]

et toujours moi.

un autre encore.

system integrity scan wizard , vive le net.

je crois bien q'AVAST n'est pas terrible, il met bien des truc en quarantaine et dit bien PAS DE PANIQUE et pourtant

ras le bol.

à plus

[igor51]

Bonsoir jen156,

Voici la procédure à faire en entier, si tu as des questions ou des ineterrogations, n'hésite pas à demander.

1/ Téléchargement des outils :

Télécharge ATF Cleaner par Atribune.

- Télécharge rootkit revealer :
http://www.sysinternals.com/Files/RootkitRevealer.zip

- Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
(Si tu as Norton Antivirus ou NOD32, désactive le)
- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix

- Télécharge Vundoxfix de Atribune - mirror si le lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml

2/ Redémarre en mode sans échec :

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

3/ Affichage des dossiers/fichiers :

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

4/ Suppression manuelle :

Supprime les fichiers suivants en gras :

C:\WINDOWS\TEMP\winA4.tmp.exe
C:\WINDOWS\TEMP\iddA5.tmp.exe
C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\mst15.tmp
C:\WINDOWS\system32\winzoa32.dll

Vide la corbeille !!

5/ Utilisation de ATF-Cleaner

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

6/ Utilisation de SmitfraudFix :

Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (le .cmd peut ne pas être présent)
- Choisis l'option 1 et appuie sur Entrée
- Réponds o (Oui) aux deux questions suivantes si elles sont posées
- Un rapport sera généré sauvegarde le dans un dossier

7/ Utilisation de Hijackthis

Exécute hijackthis, choisis "Do a scan only" et coche les lignes suivantes :

O4 - HKLM\..\Run: [vbpswkk.dll] C:\WINDOWS\system32\rundll32.e xe C:\WINDOWS\system32\vbpswkk.dl l,mhynszb

8/ Utilisation de vundofix

Exécute Vundofix

• Ne clique pas sur [b]Scan for a vundo"
• Clique droit au milieux de la fenêtre
• Clique sur Add more files ?
• Copie/colle les fichiers ci-dessous ( un par case) :
• Code:

  C:\WINDOWS\system32\vbpswkk.dll

• Clique sur Add files
• Ensuite clique sur Close Windows
• Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
• Si l'outils demande un redémarrage, accepte

9/ Utilisation de RootkitRevealer

- Lance le et clique sur Scan
- A la fin du scan clique sur File>Save et choisis un endroit ou l'enregistrer.

10/ Prochaine réponse :

Dans ta prochaine réponse, poste les rapports suivants en pièce jointe :

-le rapport de SmitFrauFix
-Le rapport de Vundofix
-Un nouveau log hijackthis

Bonne soirée,

Igor

[invitec4b9e359]

bonjour igor.

pas facile tout ça

bon merci pour tes precieux conseils, mais je n'arrive pas à tout faire

je n'arrive pas a eliminer certaints fichier en manuel.

win a4... ;mst15.tmp; et celui là introuvable winzoa32.dll

et en plus de celà mes rapports de scan reste introuvables du moins 2

j'en ai q'un ,desole.



merci pour me sortir de cette .....!

[igor51]

Bonjour jen156,

Alors le rapport de vundofix se trouve à cet emplacement :
C:\vundofix.txt

Poste moi aussi un nouveau log hijackthis!

- Génère un rapport en suivant ces indications :
- Double-clic sur HijackThis.exe
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le rapport.

Bonne journée,

Igor

[invitec4b9e359]

rebonjour igor.

voici ces deux log.

ça n'arrete plus de rentrer dans le pc, pub ,logiciel antivirus anti truc et machin et j'en passe.

merci pour me sortir de cette m...

à plus

[invitec4b9e359]

desole igor.
ça na pas fonctionne.

je reessais

à plus

[igor51]

Bonjour jen156,


fais ceci :

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
- Clic en bas sur "I accept"
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe

Aide : Tu peux consulter le tutorial de F-Secure BlackLight


Poste moi le rapport généré.

Bonne soirée,

Igor

[invitec4b9e359]

bonjour igor51.

voici le log F-secure...

je crois maitenant que celà joue avec ma connexion internet , sa n'arrete pas de couper et j'ai ce message suivant "impossible d'etablir une connexion"
et quand j'insisite un peu ça repart

bonne soiree.

[igor51]

Bonsoir jen156,

on va continuer la désincfection, pour tes problèmes de connexion, il faudra voir après la désinfection de ton pc.

1/ Téchargement des outils :

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

- Télécharge DiagHelp.zip sur ton bureau
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp

2/ Utilisation de Clean :

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

3/ Utilisation de diaghelp

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
-Enregistre le rapport qui s'ouvre

4/ utilisation de vundofix :


Exécute Vundofix

• Ne clique pas sur [b]Scan for a vundo"
• Clique droit au milieux de la fenêtre
• Clique sur Add more files ?
• Copie/colle les fichiers ci-dessous ( un par case) :
• Code:

  C:\WINDOWS\TEMP\win30.tmp.exe
  C:\WINDOWS\system32\winzoa32.dll

• Clique sur Add files
• Ensuite clique sur Close Windows
• Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
• Si l'outils demande un redémarrage, accepte
• Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis

5/ Prochaine réponse :

Poste moi les rapports suivants :

-le rapport de diaghelp
-le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt
-le rapport de vundofix
-un nouveau log hijackthis

Bonne soirée,

Igor

[invitec4b9e359]

bonsoir igor.

voici les log demandes.

merci et bonne soiree

[igor51]

Rebonsoir,

voici la suite des opérations à faire

Ensuite télécharges et installes :
KillBox de Option^Explicit
Aide Killbox

sélectionne entièrement la liste ci-dessous :

Code:

C:\WINDOWS\System32\vwibbnnh.dll
C:\WINDOWS\System32\vapibkth.exe 
C:\WINDOWS\System32\stutv.bak1
C:\WINDOWS\System32\vtuts.dll
C:\WINDOWS\System32\lvrarnn.dll
C:\WINDOWS\System32\xxyxxxy.dll
C:\WINDOWS\System32\winzoa32.dll

---> et tu fais clic droit / copier

Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur All Files
- Clique sur la croix rouge et et blanche
- Répond yes et laisse redémarrer ton pc.
N'hésite pas à consulter l'Aide killbox

NOTE: Si tu reçois le message "PendingFileRenameOperatio ns Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur


Refais un scan avec diaghelp :

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande


Hijackthis !

- Renomme le fichier HijackThis.exe en Scanner.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
- Tape Scanner.exe et Appuye sur la touche Entrée.
- Génère un rapport en suivant ces indications :
- Double-clic sur Scanner.exe
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur leBloc-Note sauvegarde le fichier créé

Poste les rapports suivants:

Le rapport de diaghelp
Le log de scanner [hijackthis]

Bonne soirée,

Igor

[invitec4b9e359]

bonsoir igor.

voici les deux rapports.

peux-tu me dire par quelles m.... suis-je touché ?
car toutes sortes de m.... ne font que rentrees .
c'est enervant, j'utilise ANTI PUB pour les virees ,mais celà persistes.

merci igor.

[invitec4b9e359]

rebonsoir.

j'ai ce logiciel qui vient souvent. peux-tu me renseigner sur celui-ci:

DRIVE CLEANER INSTALLER. est-il dangereux?

car il me dit des choses qui ne me rassurent pas tellement.

merci pour une reponse.

bon appetit!

[ABN84]

bonsoir,
ignore ses messages (le logiciel, pas Igor ), c'est une bestiole qui veut s'incruster dans ton systeme, pas le proteger.
suis la procedure que te fournis Igor, et ces messages disparaitront

[HORSUJET]"bestiole": c'est de toi que je parle, Igor [/HORSUJET]

[igor51]

Bonsoir jen,

c'est un logiciel malicieux donc ne l'installe surtout pas, si tu y es contraint et forcé, désinstalle le par "ajout/suppression de programme"

Tu es infecté par un vundo essentiellement.


Voici la suite de la désinfection :

1/ Démarrage en mode sans échec

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

2/ Suppression des fichier temporaire:

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

3/ Utilisation de vundofix


Exécute Vundofix

• Ne clique pas sur [b]Scan for a vundo"
• Clique droit au milieux de la fenêtre
• Clique sur Add more files ?
• Copie/colle les fichiers ci-dessous ( un par case) :
• Code:

  C:\WINDOWS\system32\lvrarnn.dll
  C:\WINDOWS\system32\vwibbnnh.dll
  C:\WINDOWS\System32\vapibkth.exe

• Clique sur Add files
• Supprime ce qui se trouve dans les trois cases, et
• ajoute la ligne suivante:
• Code:

  C:\WINDOWS\SYSTEM32\winzoa32.dll
  C:\WINDOWS\system32\vtuts.dll
  C:\WINDOWS\TEMP\win3B.tmp.exe
  C:\WINDOWS\TEMP\idd3C.tmp.exe
  C:\WINDOWS\System32\xxyxxxy.dll

• Clique sur Add files
• Ensuite clique sur Close Windows
• Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
• Si l'outils demande un redémarrage, accepte
• Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis

Poste aussi un scan aved diaghelp option 1


Bonne soirée,

Igor

[invitec4b9e359]

bonsoir igor.

voici les trois rapports. qu'est ce que je risque avec ce trojen ?

bonne soiree à plus.

[igor51]

Bonjour jen,

tu risques surtout d'être envahit par des pubs constamment, mais ne t'inquiète pas, on prgresse bien même si plusieurs petits trucs résistent


Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds yes (touche y) puis attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Poste aussi un nouveau rapport HijackThis avec.


Bonne journée,

Igor

[invitec4b9e359]

bonsoir igor.

je te poste les rapports demandes. sinon oui , je vois que tu est à fond dedans, franchement c'est sympat de ta part.
moi j'aurrais planté le pc tout simplement

aller bonne soirée. @+

[igor51]

Bonsoir jen,

on va bientot finir !!! Donc je m'entête !!

Suite de la procédure.

1/ Démarre en mode sans échec

2/ Affiche tous les fichiers/dossiers

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

3/ Suppression manuelle

Supprime manuellement les fichiers suivants en gras :

C:\WINDOWS\SYSTEM32\winzoa32.dll
C:\WINDOWS\system32\vtuts.dll


Si tu ne les trouves pas, ou que tu as des diffilcultés pour les supprimer fais ceci :

Exécute Vundofix

• Ne clique pas sur Scan for a vundo
• Clique droit au milieux de la fenêtre
• Clique sur Add more files ?
• Copie/colle les fichiers ci-dessous ( un par case) :
• Code:

  C:\WINDOWS\SYSTEM32\winzoa32.dll
  C:\WINDOWS\system32\vtuts.dll

• Clique sur Add files
• Ensuite clique sur Close Windows
• Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
• Si l'outils demande un redémarrage, accepte

4/

Si tu n'as pas utilisé Vundofix, exécute vundofix dans sa procédure normale :

- Double-clique VundoFix.exe afin de le lancer.
- Clique sur le bouton Scan for Vundo.
- Lorsque le scan est complété, clique sur le bouton Remove Vundo.
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
- Démarre ton PC à nouveau.

5/ A Faire quoi qu'il arrrive

Lance Hijackthis, choisis "Do a scan only" et coche les lignes suivantes: (peut être que certaine ne devrait pas apparaitre ):

O2 - BHO: (no name) - {04CC1684-EAD3-416E-9EFA-D76DEA94EB59} - C:\WINDOWS\system32\vtuts.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {1485B483-992A-4848-364E-05AC65B6ACDD} - C:\WINDOWS\system32\lvrarnn.dl l (file missing)
O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\vwibbnnh.d ll (file missing)
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O20 - Winlogon Notify: vtuts - C:\WINDOWS\system32\vtuts.dll
O20 - Winlogon Notify: winzoa32 - C:\WINDOWS\SYSTEM32\winzoa32.d ll
O23 - Service: JLAOHBSEYFUDCP - Unknown owner - C:\DOCUME~1\HP_PRO~1\LOCALS~1\ Temp\JLAOHBSEYFUDCP.exe (file missing)
O23 - Service: REFO - Unknown owner - C:\DOCUME~1\HP_PRO~1\LOCALS~1\ Temp\REFO.exe (file missing)
O23 - Service: TBOY - Unknown owner - C:\DOCUME~1\HP_PRO~1\LOCALS~1\ Temp\TBOY.exe (file missing)

Ferme toutes les fenetres sauf hijackthis, et clique sur "Fix Checked"

6/ Scan en ligne

Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.Poste le rapport qui sera généré stp. ainsi qu"un nouveau log hijackthis


Bonne soirée,

Igor

[invitec4b9e359]

bonsoir igor.

voici le rapport hijactkhis, pour kaspersky je n'arrive pas à le telecharger fichier HTML.

[invitec4b9e359]

rebonsoir.
le voici

[invitec4b9e359]

bonsoir igor .

desole c'est la fatigue.en rien ne marche je verrai cela demain.

bonne nuit.

[igor51]

Bonsoir jen,

pas de problème!!!

Mais si tu peux, fais ceci, comme le Vundofix vient d'être mis à jours, je vais te demander de supprimer l'ancien et de rélécharger le nouveau et de refaire la manipulation :

- Télécharge Vundoxfix de Atribune - mirror si le lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml
- Double-clique VundoFix.exe afin de le lancer.
- Clique sur le bouton Scan for Vundo.
- Lorsque le scan est complété, clique sur le bouton Remove Vundo.
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
- Démarre ton PC à nouveau.
- Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.


Bonne soirée,

Igor

[invitec4b9e359]

bonsoir igor.

excuse-moi encore pour hier soir.

voici les deux rapports.

bonne soiree!

[igor51]

Bonsoir jen,

c'est parfait tout sa.

As-tu encore des problèmes ??

ON va faire un scan en ligne poiur vérifier :

Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.Poste le rapport qui sera généré stp.

Bonne soirée,

Igor