Help ! Connexion automatique due à un malware ?

[invitede9369c4]

Bonjour,

Je suis en train d'essayer de nettoyer le PC de mon beau-frère (italien, je le précise pour les futurs analyses de logs qui était rempli de malware !

J'ai utilisé Avast, CCleaner, CWShredder, Ad-Aware, Windows Defender, Spybot et Spyware Blaster.

Le nettoyage semble avoir été efficace sauf que j'ai toujours régulièrement une fenêtre s'ouvrant de connexion à Internet...

Impossible de retirer cette fenêtre et de trouver le paramètre qui provoque cela. J'ai beau essayer de fermer toutes les appli de la barre des tâches, rien n'y fait... Je désespère

Merci de m'aider

Ci-joint les derniers logs de hijackthis et combofix.
-----

[invite275db609]

Bonjour et bienvenue sur Futura-Sciences

Pourquoi as-tu lancer combofix ? C'est un outil tres puissant et qui est dédié a certains types d'infection, à ne surtout pas utiliser a tort et a travers ...

Peux-tu suivre, stp la procédure de prénettoyage de Futura ...

En plus de la procédure, fais ceci :
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
• Clique sur le bouton Scan for Vundo
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Poste bien tes rapports en pièces jointes ... (il en faut donc 3 : AVG-AS, hijackthis et vundofix)

Bonne journée

[invitede9369c4]

Merci de votre aide.

Ci-joint les 3 rapports.

PS: j'utilise une clé USB pour tansférer les fichiers de log et programmes téléchargés de mon PC vers celui qui est infecté. Est-ce que je risque de récupérer le(s) malware(s) via ma clé ?

[invite275db609]

Bonjour kosmo

Logiquement, si tu ne trimballes dans la clé USB que les programmes que je te fais télécharger, tu ne devrais pas avoir de probleme ...

Poursuivons :
Tu vas devoir redémarré plusieurs fois, je préfere te faire passer SDFix en plus, pour etre sur qu'il ne reste pas de Sdbot, peut-etre n'est-ce pas indispensable, mais c'est une sécurité supplémentaire pour ne pas rater quelque chose.

• Double-clique VundoFix.exe afin de le lancer.
• Coche Run VundoFix as a task.
• Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Si l'outil rapporte qu'aucune infection n'a été trouvée ("No infected files were found"), fais un clic droit dans la fenêtre blanche et clique "Add more files?"
• Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut):
  
  Code:

  C:\WINDOWS\system32\gebxvtt.dll

• Copie/colle le chemin du fichier suivant dans la seconde case (au centre):
  
  Code:

  C:\WINDOWS\system32\ttvxbeg.dll

• Clique sur le bouton "Add File(s)"
• Clique sur le bouton "Close Window"
• Clique à nouveau sur "Remove Vundo"
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau. (en mode sans echec)

Lance hijackthis et clique sur Do a System Scan Only.
Coche les cases suivantes, si présentes :

O2 - BHO: (no name) - {1A4886E2-7EAF-495B-A191-CAB5D9347D6D} - (no file)
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - (no file)
O2 - BHO: (no name) - {4E8104AC-AA94-40B1-96D8-BA05067BF085} - C:\WINDOWS\system32\gebxvtt.dl l
O2 - BHO: (no name) - {911D0854-DA1E-478D-B534-BBE7F5616B3F} - C:\WINDOWS\System32\sstts.dll (file missing)
O18 - Protocol: vskype - (no CLSID) - (no file)
O20 - Winlogon Notify: gebxvtt - C:\WINDOWS\SYSTEM32\gebxvtt.dl l

Ferme toutes les fenetres ouvertes, sauf hijackthis et clique sur Fix Checked.

Lance CCleaner comme demandé dans la procédure de pré-nettoyage ...

Redémarre en mode normal ...

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

Lorsque tu auras redémarré apres SDFix, fais ceci :
Renomme hijackthis.exe en futura.exe.
Relance un scan hijackthis et copie/colle moi le rapport ...

J'attends donc 3 rapports :

• le nouveau rapport vundofix
• le rapport SDFix
• le nouveau rapport avec hijackthis renommé

J'aurais surement une autre manip a te faire faire lorsque le PC paraitra propre, on verra ca en temps voulu

Bon courage, @ tout bientot

[A voir en vidéo sur Futura]

[invitede9369c4]

Merci de ton aide précisieuse...

J'ai téléchargé le VundoFix sur le lien que tu m'as indiqué plus haut, version 6.2.13 mais je n'ai pas de case à cocher "Run VundoFix as a task"

[invitede9369c4]

Malgré l'absence de case à cocher sur VundoFix, j'ai suivi ta procédure.

Ci-joint les 3 logs

[invitede9369c4]

Super, je n'ai plus la fenêtre de connexion à Internet !!!
Au fait, concernant Hijackthis, j'avais bien coché :
"O18 - Protocol: vskype - (no CLSID) - (no file)"
mais ce n'est pas parti et
"O20 - Winlogon Notify: gebxvtt - C:\WINDOWS\SYSTEM32\gebxvtt.dl l"
n'existait pas.

J'attends tes dernières manip.
Pourrais-tu également me dire ce que tu penses de Windows Defender ? Est-ce utile de le laisser actif ? Vaut-il mieux en mettre un autre ? Actuellement, j'ai mis Avast + ZoneAlarm + Windows Defender + SpywareBlaster. Qu'en penses-tu ?

[invite275db609]

Reu

Super, je n'ai plus la fenêtre de connexion à Internet !!!

Que veux-tu dire par la ?

On a encore du boulot :

• Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip
• Place le programme dans le répertoire qui te plaît (pas d'installation Windows)
  
• Lance KillBox
• choisis l'option Delete on Reboot
• copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) (NE LA COLLE PAS)
• Dans killbox, clique sur File puis Paste from Clipboard

Code:

C:\WINDOWS\system32\ssqopmm.dll
C:\WINDOWS\system32\yayvvst.dll
C:\WINDOWS\system32\wvuurqo.dll
C:\WINDOWS\system32\mljjkif.dll
C:\WINDOWS\system32\ljjklig.dll

• les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
  Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
• vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
• coche "Unregister .dll Before Deleting". IMPORTANT
• clique sur la croix blanche sur fond rouge (Delete File) :
  
• File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

Je te donnerais une fois la machine propre un bon lien pour protéger ta machine.

[invitede9369c4]

Mon problème de départ est que j'avais régulièrement une fenêtre de connexion à Internet qui apparaissait sans raison. Avec les manip que tu m'as fait faire, je ne l'ai plus !

J'ai supprimé les fichiers via KillBox.

Ci-joint le nouveau log d'hijackthis.

[invitede9369c4]

Mon problème de départ est que j'avais régulièrement une fenêtre de connexion à Internet qui apparaissait sans raison. Avec les manip que tu m'as fait faire, je ne l'ai plus !

J'ai supprimé les fichiers via KillBox.

Ci-joint le nouveau log d'hijackthis.

[invite275db609]

Bonsoir

Peux-tu vérifier que les fichiers qu'on a dégagé par !killbox ne sont plus la, apres avoir fait ceci :
Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre votre poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.
Vérifie maintenant que les fichiers ne sont plus présent ...

Bonne nuitée

[invitede9369c4]

C'est bon, ils n'y sont plus !

[invite275db609]

Bonjour

Peux-tu aller voir ta boite de message privé, je t'ai envoyé un message hier soir ... et tu ne m'as pas répondu ...

Fais aussi ceci :

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi le rapport

Bonne journée

[invitede9369c4]

Je n'avais pas activé la messagerie privée, désolé. Je n'ai pas reçu ton message.

Je viens de l'activer, peux-tu me renvoyer ton message.

[invitede9369c4]

Bonsoir,

Ci-joint le rapport de Kaspersky.
Il y a encore des virus

Je t'envoie tres rapidement un autre message...

[igor51]

Bonsoir,

juste pour facilté la lecture.

Bonne soirée,

Igor

[igor51]

Bonjour,

un petit Up pour savoir si t uas reçu le MP de synthexe et si tu as le rapport généré?

Bonne journée,

Igor

[invitede9369c4]

Bonjour et meilleurs voeux pour 2007 à tous !!!

Oui, je te transfère le rapport en privé.
Que dois-je faire par rapport au virus détecté par Kaspersky ?

[igor51]

Bonjour,

une réponse viendra en fin d'aprem, le rapport que tu m'a envoyé doit etre analysé.

Bonne journée,

Igor

PS; tu peux supprimer ce fichier C:\WINDOWS\system32\ylmsnaeg.dll

le reste n'étant pas actif, on s'en occupera plus tard

[invitede9369c4]

Plus de réponse ?

[Cyrrus]

Bonsoir kosmo,

Synthexe est un peu occupé en ce moment. Je vais terminer à sa place (t'aura eu tout le monde comme çà )

As tu encore des dysfonctionnements ? Peux tu refaire une analyse en ligne avec Kasperky pour vérifier que le fichier effacé n'est pas revenu. Poste le rapport en pièces jointes.

Bonne soirée
Cyrrus