hijacker.smal.kj + Win32:Small.ckx

[invitea331a56d]

Bonjour à tous,
c'est d'une machine contaminée que je vous parle ....

En effet, voici 3 jours que j'essaye de me dépatouiller de ces deux charmants camarades que j'ai eu le plaisir de présenter en introduction ...

Aussi, après avoir lu et réalisé certaines manoeuvres que j'ai trouvé dans vos (excellents ) conseils, j'ai failli croire à la réussite totale .... du départ de mes deux PETITS camarades COLLANTS

Je me trompe : ça colle ces trucs là, anatole ....

Pour avoir une idée des manipulations que j'ai effectué, j'ai joint le rapport initial créé par AVG, le rapport créé par hijack puis the last one d'avg.

J'ai viré mes points de restauration.

Mais Avast me signale au démarrage que le Win32 est toujours là dans scrss32.dll, fichier que je n'arrive pas à détruire ...

Maintenant, je sollicite votre aide ....
So... Si quelqu'un a pitié de moi ...

-----

[invite275db609]

Bonjour et bienvenue sur Futura-Sciences

Les rapports ne sont pas validés, dès qu'ils le seront, on s'attaquera a ton probleme.

@ + tard

[invite275db609]

Re-bonjour

Peux-tu faire ceci stp :

Redémarre en mode sans echec ...

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me =
R3 - Default URLSearchHook is missing

Ferme toutes les fenetres et clique sur Fix Checked.

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre votre poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Supprime les fichiers ou dossiers suivants (en gras), si présents :
C:\WINDOWS\scrss32.dll

Redémarre en mode normal ...

• Fais un scan en ligne avec Kaspersky WebScanner
• Sous "Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
• On va te demander de télécharger un contôle active x, accepte .
• Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
• Le scan va commencer. Poste le rapport qui sera généré stp.

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi le rapport kaspersky ainsi qu'un nouveau rapport hijackthis.

[invitea331a56d]

Bonjour !
Déjà des propositions ! Damned !
Merci pour ta célérité ...

OK. J'ai effectué ce que tu m'a proposé et je ne te joins que le nouveau rapport Hijackt. Pourquoi ? te dis-tu. Je t'explique :

• J'ai redémarré en Mode SE, j'ai exécuté Hijack et réaliser uniquement le scan;
• Les lignes que tu avais citées n'étaient pas présentes, donc out;
• J'ai vérifié le paramétrage d'affichage d'Explorer que j'avais déjà modifié selon tes recommandations ;
• J'ai supprimé (avec un malin plaisir ... ) le scrss32.dll que j'ai trouvé (comme tu le disais ) sous c:\WINDOWS ;
• J'ai rebooté .
• M'apercevant que je n'avais pas créer de rapport sous hijack, je suis repasser en F8 immédiatement ;
• redo hijack et là surprise : tes 3 lignes sont apparues dans le scan ... je les ai fixcheked et fais mon rapporter;
• J'ai (re)vérifier si scrss32.dll était présent : il était mort de sa belle mort ... Donc reboot en normal ;
• Et LA .... tout pareil que miguel ... WIN32.small.ckr m'a dit coucou via AVAST dans scrss32.dll ;
• J'ai essayé de shooter avec AVAST scrss32.dl, impossible. Seule la quarantaine a fonctionné ...
• J'ai été chez Kapersy faire mon scan .. après le téléchargement des souches ... J'ai rebooté tout seul sans rien faire ...

Et j'en suis là, synthexe ....

D'autres propositions ?

[A voir en vidéo sur Futura]

[invite275db609]

Bonjour

Supprime le dossier suivant :
C:\windows\TEMP\_AVAST4_

Reessaie le scan online chez Kaspersky et fais aussi ceci :

• Télécharge DiagHelp.zip de Malekal_morte sur ton bureau :
• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout.
• Un nouveau dossier chercher va être créé DiagHelp.
• Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître).
• Une fenêtre va s'ouvrir, choisis l'option 1.
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
• Copie/colle le rapport en piece jointe

Colle moi les 2 rapports, Kaspersky et diaghelp ...

[invite275db609]

Reu ....

Si tu peux, avant de faire les scans :
En mode sans echec, cherche et supprime les fichiers suivants :
c:\windows\service32.exe
C:\WINDOWS\scrss32.dll

Ensuite tu reprends les scans demandés si dessus, si tu as trouvé le fichier service32.exe ... sinon, mentionne le moi, on essaiera autrement

@ + tard

[invitea331a56d]

Tu veux rire ...
Je t'ai mis en pj le rapport d'avg que je viens de faire : Hijack est encore là ...

So lonely ....

Je fais ce que tu me demandes, et je t'appelle ...
Merci encore de ton concours ...

[invite275db609]

N'as-tu pas supprimer le dossier demandé ??
A savoir : C:\WINDOWS\Temp\_avast4_

Pourquoi n'as-tu pas fait le reste des manips ??

Laisse tomber les manips précédentes, et fais ce qui suit :

1. Télécharger The Avenger par Swandog46 sur votre Bureau.

• Click sur Avenger.zip pour ouvrir le fichier
• Extraire avenger.exe sur votre bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

files to delete:
c:\windows\service32.exe
C:\WINDOWS\scrss32.dll

Folders to delete:
C:\windows\TEMP\_AVAST4_

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

• Sous "Script file to execute" choisir "Input Script Manually".
• Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
• Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
• Cliquer Done
• ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
• Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

• Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
• Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
• Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
• The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE

Fais aussi ceci :

• Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
• Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
• Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
• Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Poste moi le rapport d'Avenger, de blacklight et un nouveau hijackthis ...

Bonne soirée

[invitea331a56d]

Il faut laisser le temps au temps, synthexe ....

Je viens de terminer ce que tu viens de me demander.

• en mode sans echec, j'ai shooté service32.dll mais scrss32.dll était absent ;
• en mode normal, j'ai arreté la protection résidente d'avast pour pouvoir supprimer c:\temp\_avast4_ car le fichier webshot était occupé : opération réussie ;
• J'ai fait un diaghelp (voir pj) ;
• j'ai tenté (par 2 fois) le scanonline Kapersky sans succès, j'ai viré online scanner, etc ... ;

J'ai rebooté en me demandant si j'avais vu le déclenchement d'avast sur le win32.small.ckr .
Au reboot, j'attends : rien.
Par acquis de conscience, je lance AVG : plus de hijack non plus.

Alors, mon cher synthexe, je te prie d'accepter toi, ainsi que tes compagnons de ton groupe que j'ai lu dans le forum, mes plus chaleureux remerciements pour tes conseils et ta méthodologie dans la résolution de mon problème.

Je me permettrai de vous ennuyer à nouveau si le problème se présente à nouveau, mais je cède ma place à un autre malade.

Merci à vous encore.

[invite275db609]

Coucou 2fois

Ce n'est pas parce que les symptomes ou les alertes ont disparu que tu es sorti d'affaire ...

Peux-tu vérifier stp, qu'apres redémarrage les fichiers que tu as dégagé ne sont plus la.

Supprime aussi ceci :
c:\Documents and Settings\Christophe\Local Settings\Temp\it_0005.exe

Lance CCleaner comme demandé dans la procédure de pré-nettoyage.

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

Je te conseille de lire le tres bon dossier de Futura sur la protection d'un ordinateur personnel de JPL, il y a beaucoup a apprendre ...

Bonne nuitée

[invitea331a56d]

Bonsoir à tous.

J'ai effectué les manips que tu m'as indiqué.

Plus d'hôtes indésirables...

Je crois que je vais (enfin !) protéger ma machine correctement maintenant avec ce super dossier.

Merci à vous et bonne glisse ...

Tschuss.

[invite275db609]

Bonsoir

Un tit scan en ligne pour etre sur ? :

• Fais un scan en ligne avec Kaspersky WebScanner
• Sous "Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
• On va te demander de télécharger un contôle active x, accepte .
• Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
• Le scan va commencer. Poste le rapport qui sera généré stp.

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Bonne soirée