re virus!

[invitec4b9e359]

bonjour.

suite à une analyse en ligne via kaspersky,ce dernier détecte un virus ( et c'est repartis )

je trouvais que mon pc etait lent à reagir et bloquait facilement. je suis fixé maintenant, surtout que je venais ( grace a vous igor et cyrrus) de le nettoyer de certaines bestioles.

merci de pouvoir m'aider

bon dimanche.
-----

[yoda1234]

je trouvais que mon pc etait lent à reagir et bloquait facilement. je suis fixé maintenant, surtout que je venais ( grace a vous igor et cyrrus) de le nettoyer de certaines bestioles.

Bonjour,

j'en conclu que tu n'avais pas suivi les conseils de prévention donnés sur ce dossier ou que tu ne fréquente que des sites pas très recommandables.
Peut tu appliquer cette procédure?

J'ai effacé ton rapport Kaspersky.

[igor51]

Bonjour,

peut être un truc qui s'est reveillé plus tard...

Après avoir suivi la procédure, fais un scan en ligne avec kasperky.

Bonnne journée,

Igor

[invitec4b9e359]

re.

voici les deux rapports AVG et HIJACkTHIS.

j'ai une fenetre qui apparait souvent et il n'y a rien dedans vide??

bonne soiree.

[A voir en vidéo sur Futura]

[igor51]

Bonsoir jen,


tu as pris ce que l'on apelle un Lop, qui est venu avec l'installation de msn plus

Donc en passant par "Ajout/suppression de programme" désinstalle :

Les sponsors de MSN +

Si tu éprouves de problèmes, désinstalle msn+, ensuite tu pourras le réinstaller en décochant l'installation des sponsors.

Ensuite,

- Télécharge DiagHelp.zip sur ton bureau
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande


Poste le rapport de Diaghelp, ainsi qu'un nouveau log hijackthis!

Bonne soirée,

Igor

[invitec4b9e359]

re.

qu'est-ce qu'un LOP?

voici les rapports

[invitec4b9e359]

re

voici le log hijackthis, je l'avais oublie.

je suis envahis de pub,sa rentre de plus en plus.

bonne soiree merci.

[igor51]

Re,

alors: LOP est un adware qui va télécharger des fichiers sur ton ordinateurs.

Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

Redémarre en mode sans échec :

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Redémarre en mode normal

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
- Clic en bas sur "I accept"
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log et Poste le rapport
Aide : Tu peux consulter le tutorial de F-Secure BlackLight


Dans ta prochaine réponse, poste moi les rapports de Clean et de Blacklight

pour clean, il se situe dans C:\

Et dis moi pour quels types de produits sont ces pubs et leurs noms aussi si possible.

Bonne soirée,

Igor

[invitec4b9e359]

bonjour.

pour les pubs il y a:

malice et taille; regiedepub et taille; trouvez ce que vous cherchez sur le net aquarelle.com ; the world's n°1 online casino. et surtout une page entierement vierge?. casino et compagnies c'est souvent que j'en reçoit

et voici les deux rapports.

bonne soiree.

[igor51]

Bonsoir jen,


bon on va attaquer les problème:

Suis cette procédure en entier, si tu rencontres des problèmes fais moi en part à la fin.
[*] Télécharge SpySweeper (de Webroot, version d'essai de 14 jours) :

-Clique sur "Spy Sweeper 5.0 - Évaluation gratuite" en bas de la page.
-Installe le programme en choississant "installation standard".
-Accepte le redémarrage
-L'option de le mettre à jour s'affichera, acceptes la mise à jour
-Lorsque les mises à jour seront installées, dans colonne de gauche clique sur l'onglet Options puis analyse.
-Sous Eléments à analyser et Autres options coche toutes les cases.
-Ferme SpySweeper

La suite étant faite en mode sans échec, imprime ou copie/colle dans un fichier texte les instructions suivantes

1/ Démarre en mode sans échec

2/ Modification de l'affichage :

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

3/ Suppression des fichiers :

Double-clique sur "Poste de Travail"

Séléctionne la ligne suivant et copie la :

Code:

C:\DOCUME~1\HP_PRO~1\APPLIC~1\BOREMA~1\

Colle la dans "Adresse" puis appuye sur "Ok"

La, supprime le fichier suivant : basestyle.exe

Recomme la même opération pour:

Code:

C:\Documents and Settings\All Users\Application Data\bend dvd mode second\

La, supprime le fichier suivant : DownloadDoes.exe


4/ Utilisation d'Hijackthis !

Lance hijackthis, choisis "do a scan only" et coche les lignes suivantes :

O4 - HKLM\..\Run: [ModeSecondNameSoft] C:\Documents and Settings\All Users\Application Data\bend dvd mode second\DownloadDoes.exe
O4 - HKCU\..\Run: [rectwipe] C:\DOCUME~1\HP_PRO~1\APPLIC~1\ BOREMA~1\basestyle.exe

Ferme toutes les fenetres sauf Hijackthis et clique sur FIx Checked

5/ Utilisation de spy sweeper

• Démarre SpySweeper
  -Clique Analyser sur la gauche puis sur Démarrer l'analyse.
  -Quand le scan est terminé, clique sur Suivant.
  -Assure-toi que tous les éléments trouvés sont tous cochés, puis clic sur Suivant.
  -Tous les éléments cochés seront alors mis en quarantaine.
  -Dans "Récapitulatif", sélectionne en bas Afficher le journal de session puis Enregistrer dans un fichier afin de sauvegarder le rapport.
  
• Redémarre normalement
  
• Désinstalle SpySweeper à partir de ajout/suppression de programme sauf si tu veux continuer l'évaluation pendant 15 jours.
  
• Poste le rapport de SpySweeper ainsi qu'un nouveau log hijackthis

Bonne soirée,

Igor

[invitec4b9e359]

bonsoir igor.

au fait moi c'est mikael! jennifer c'est ma fille.

je suis bien embeté au chapitre 3 ;Suppression des fichiers :

Double-clique sur "Poste de Travail"

Séléctionne la ligne suivant et copie la :


Code:
C:\DOCUME~1\HP_PRO~1\APPLIC~1\ BOREMA~1\Colle la dans "Adresse" puis appuye sur "Ok"

La, supprime le fichier suivant : basestyle.exe

Recomme la même opération pour:

Code:
C:\Documents and Settings\All Users\Application Data\bend dvd mode second\La, supprime le fichier suivant : DownloadDoes.exe

je n'y arrive pas du tout! je ne vois rien de tous celà!!

peux-tu m'éclaircir sur le sujet merci.

bonne soiree.

[invitec4b9e359]

re.

je voudrais savoir comment faire pour virer des favoris.

j'en ai à virer genre casino online qui c'est mit là je ne sais comment?
Cool STUFF; Trave; online Gamming et d'autres encore.
quand je fais un clic droit et j'essaie après de les supprimer, voici le message suivant. FERMER LA BARRE D'OUTIL ? tous regroupes ils forment le même site OPEN SEARCH WEB. je n'ose pas trop fouiller la dedans ça cache quelques choses de mauvais là dedans.

merci.

[igor51]

Bonsoir,

si tu le permets, on s'occupera de tes favoris un peu plus tard.

Pour l'étape 3 je vais essayer autrement.

Est-ce que tu trouves les dossiers suivants :

BOREMA~1 ( un dossier commencant par borema)
bend dvd mode second (lui on a le nom entier)

Sinon tu peux passer par la fonction rechercher de windows et chercher les fichiers suivants :

basestyle.exe
DownloadDoes.exe

Si tu ne les trouves pas c'est pas grave et passe à l'étape suivante.

Bonne soirée,

Igor

[invitec4b9e359]

bonjour igor.

j'ai tous suivi tes conseils à la lettre. j'ai trouvé les deux fichiers et je les aient supprimes.

pour les favoris je vais patienter.

voici les deux rapports hisjacthis et spy sweeper.

bonne journee.

[Bruno]

Hello,

Concernant ton scan Hijackthis, voici les entrées à supprimer :

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP. exe"

(il s'agit d'un virus).

Une petite question: ton pc quand il charge ta session il met du temps à se "stabiliser" ??

[igor51]

Bonjour Bruno,

je ne suis pas d'accord....

sur castelcops et sur BleepingComputer il le donne comme sain

>> http://www.castlecops.com/s3039-Remind_XP_exe.html

>>http://www.bleepingcomputer.com/star....exe-4501.html

Il est vrai qu'il peut être associéà un trojan aussi mais il n'est pas le meme dossier.

Bonne journée,

Igor

PS: jen je te répondrai un peu plus tard

[igor51]

Re,


bon alors voici la suite des hostilités :


- Télécharge DiagHelp.zip sur ton bureau
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
- Poste le rapport en pièce jointe


Lance hijackthis, choisis "do a scan only" et coche les lignes suivantes:

O4 - HKLM\..\Run: [ModeSecondNameSoft] "C:\Documents and Settings\All Users\Application Data\bend dvd mode second\DownloadDoes.exe"
O4 - HKCU\..\Run: [rectwipe] C:\DOCUME~1\HP_PRO~1\APPLIC~1\ BOREMA~1\basestyle.exe

Ferme toutes les fenetres sauf hijackthis et clique sur "Fix Checked"

As-tu toujours des pubs ?

Bonne journée,

Igor

[invitec4b9e359]

re.

les pubs pour l'instant je n'en voient pas apparaître.

celui-là par contre introuvable.O4 - HKCU\..\Run: [rectwipe] C:\DOCUME~1\HP_PRO~1\APPLIC~1\ BOREMA~1\basestyle.exe

Une petite question: ton pc quand il charge ta session il met du temps à se "stabiliser" ?? réponse , oui c'est assez long je l'avoue.

voici les deux rapports.

[Bruno]

re.

Une petite question: ton pc quand il charge ta session il met du temps à se "stabiliser" ?? réponse , oui c'est assez long je l'avoue.

voici les deux rapports.

OK alors tu ouvres AVG :

- va dans l'onglet Analysis (troisième en partant de la droite)
- dans les onglets du bas, sélectionne l'onglet Autostart (troisième en partant de la gauche)
-appuye sur la touche PrintScreen de ton clavier pour faire une capture d'écran (essaye d'avoir sur ton écran la liste complète que donne AVG sinon fait plusieurs captures).
- poste-moi la ou les captures d'écran

Rappel: pour obtenir l'image, aller dans Paint, faire "coller" et sauvegarder l'image (en jpg si possible sinon bmp).

[invitec4b9e359]

re.

le rapport manquant diaghelp pas moyen de le telecharger ?

par contre je viens de m'apercevoir que les fameux favoris que je citais précédemment ont disparut.


desolé pour la piece manquante.
@+

[igor51]

Bonsoir,

pourrais-tu être plus précis.

Qu'est-ce que tu n'arrives pas à faire.:l'uploader ou autre chose?

Peut être un problème avec la taille non ?

Si tu veux, une fois la désinfection terminée et ton ordinateur protégé, on pourra passer à une optimisation de ton système.

Bonne soirée,

Igor

[invitec4b9e359]

re.

oui je n'arrive pas à l'uploader. j'ai bien un fichier texte mais des que je veux l'uploader rien ne part.

appuye sur la touche PrintScreen de ton clavier pour faire une capture d'écran . sa ne marche pas.

sur mon ancien pc j'ai bien cette touche qui marche tres bien, mais sur celui-là rien à faire,la touche se nomme impécr /syst.

me connaissant tous va finir par passer par la fenetre

bonne soiree.

[Cyrrus]

Bonsoir Igor, jen, à tous,

jen : on va tenter de te faire uploader ton rapport autre part.

1. Va sur Rapidshare

2. Clique sur "Parcourir" et sélectionne ton fichier, puis clique sur Upload.

3. Patiente le temps de l'upload, puis clique sur "I don't want a collector's account right now. Just give me the download-link." en bas de la page qui apparait.

4. Copie/colle le lien en face de "Your download-link" et poste le ici.

Bonne soirée
Cyrrus

[Bruno]

sur mon ancien pc j'ai bien cette touche qui marche tres bien, mais sur celui-là rien à faire,la touche se nomme impécr /syst.

me connaissant tous va finir par passer par la fenetre
.

mdr

Bon fait d'abord ce que te demandent les membre de l'équipe malwares, pis on verra sinon on va tous s'embrouiller dans les posts

Si t'y arrives pas yaurais moyen de faire une assistance à distance via msn..

[invitec4b9e359]

re.

voici le rapport ..Download-Link #1: http://rapidshare.com/files/1596644/resultat.txt.html .

j'espère que c'est bien ça,bon sang ça me prend la tête!

bonne nuit les gars.

mikael.

[JPL]

appuye sur la touche PrintScreen de ton clavier pour faire une capture d'écran . sa ne marche pas.

N'aurais-tu pas le clavier Microsoft avec une ribambelle de fonctions en plus ? À mon expérience dans ce cas il faut que le voyant de la touche F Lock soit éteint pour faire la copie d'écran (ce qui est totalement illogique puisqu'il faut qu'il soit allumé pour avoir le fonctionnement classique des autres touches F).

[igor51]

Bonjour JPL, jen, bonjour à tous,


Bon alors on va encore faire quelque suppression et un scan en ligne et ce sera fini !

1/ Démarre en mode sans échec

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

2/ Assure toi d'avoir accès à tous les fichiers :

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

3/ Supprime les fichiers en gras suivants :

C:\WINDOWS\unvise32.exe

Vide la corbeille

4/ Redémarre en mode normal

5/ Fais un scan en ligne :

Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.Poste le rapport qui sera généré stp.

6/ Si tu veux une optimisation, poste un nouveau log Hijackthis avec le rapport de kasperky


Bonne journée,

Igor

[invitec4b9e359]

bonjour igor.

j'ai se trojan qui pointe son nez trop souvent.

win 32: SWIZZOR-GEN [trj]

autrement voici les deux rapports.

voilà bonne soirée.

[Bruno]

##ATTENTION LES INSTRUCTIONS DONNEES CI-DESSOUS NE SONT QUE DES HYPOTHESES, MERCI D'ATTENDRE L'APPROBATION D'UN MEMBRE DE L'EQUIPE ANTI-MALWARE AVANT DE FAIRE QUOI QUE CE SOIT ##

Salut,

Voici les lignes que je pense nocives (la ligne O4 avec msmsgs.exe étant un trojan selon moi).

A fixer :

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /installquiet /keeploaded /nodetect


O4 - HKLM\..\Run: [HPHUPD08] "c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe"


O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsb urnwatcher.exe


O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPwuSchd2.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp. dll" (file missing)


O20 - AppInit_DLLs: C:\Program Files\Agnitum\Outpost Firewall 1.0\wl_hook.dll

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

[Cyrrus]

Bonsoir Bruno, jen,

Merci de prevenir Bruno, mais essaye d'éviter lorsque les cas sont dejà pris. Aucune des lignes n'est à fixer, elles sont toutes saines. En googlant dessus, tu trouves rapidement pourquoi.

Bonne soirée
Cyrrus