Infection "wsctf.exe"

[invite7ed50693]

Bonjour tout le monde,

J'ai avg spyware et hijack this. Pourrais je connaitre la procédure malware et comment télécharger smifraudix ?

Je pense avoir été infecté par wsctf.exe
j'ai été sur un autre forum et on tarde à me répondre. En temps normal, j'aurais fait preuve de plus de patience mais le souci c'est que j'utilise le PC de ma copine et nous sommes en Chine. ça m'ennuierait que son pc nous lache en Chine et j'ai pas trop confiance dans la réparation chinoise de PC lol !!

merci d'avance messieurs,

oliver
-----

[JPL]

J'ai créé une nouvelle discussion avec ton cas. Il ne faut pas mélanger les problèmes de plusieurs utilisateurs : ce ne sont pas forcément les mêmes.
La procédure se trouve ici : http://forums.futura-sciences.com/thread69698.html. Smifraudix n'est à utiliser que si un membre de l'équipe antimalware te le dit.

[invite7ed50693]

merci d'avoir créé un sujet !! je vais regarder la procédure anti malware !! et je posterai ensuite les rapports en question !!

[invite7ed50693]

bonjour,

J'ai utiliser ccleaner. Ensuite j'ai redémarré en mode sans échec et j'ai fait un scan AVG spyware (que j'ai mis à jour auparavant) en tant qu'admnistrateur. J'ai enregistré le dossier sur le bureau et je n'ai pas pu le retrouver quand je me suis mis sur windows en mode normal. Je me rappelle tout de même que sur le rapport tout était nickel et il y avait écrit aucun problème à signaler.

sinon je vous ai attaché le fichier hijack. Que dois je faire maintenant ?

Merci pour votre réponse,

Oliver

[A voir en vidéo sur Futura]

[igor51]

Bonsoir olivermiller,


Poste le log Hijackthis dans ta prochaine réponse pour que l'on puisse t'aider

Bonne soirée,
Igor

[invite7ed50693]

c'est mieux avec le rapport en effet lol !!

[invite7ed50693]

hello,

avez vous besoin d autre chose ou on me boude car j ai oublie le rapport lol ?

oliver

P.S. : dsl pour les fautes je sui sur un clavier chinois

[Cyrrus]

Bonjour olivier,

avez vous besoin d autre chose ou on me boude car j ai oublie le rapport lol ?

Non, mais comprends que nous avons des vies nous aussi (bon je commence un peu tard aujourd'hui mais c'est exceptionnel )

Patiente un peu, pour ma part je suis très pris jusqu'à Jeudi. Igor passera lui aussi s'il a le temps.

Bonne journée
Cyrrus

dsl pour les fautes je sui sur un clavier chinois

Pas de souçis

[invite7ed50693]

ça marche je comprends !! c juste que je suis en Chine et ça me ferait chier que mon pc me lache et en plus y a pas vraiment de service après vente pour mon pc ici !!

voici le dernier rapport hijack que j'ai fait !! J'ai eu de l'aide d'un ami !! Le PC ne rame plus trop et n'a plus de sablier. Par contre quand je lance spybot et ad aware, ils trouvent encore des trucs ! Est ce normal ?

Dites moi si vous voulez un rapport de ad aware ou spybot ou panda ou autre ?

Merci d'avance,

Oliver

P.S. : je peux pas ouvir la fenetre pour ajouter la pièce joint !! monpote tellement il m'a nettoyé mon pc je crois il a bloqué des trucs !! COMMENT JE FAIS POUR VOUS JOINDRE LE DERNIER RAPPORT HIJACK ?

[JPL]

Conclusion, hélas : ne jamais faire confiance à un amateur pour des problèmes de ce genre. Plus sérieusement, si tu cliques sur le bouton Répondre en haut à gauche, tu n'as pas dans deuxième moitié de la fenêtre qui s'ouvre un bouton Gérer les pièces jointes ? Cela m'étonnerait.

[igor51]

Bonsoir olivermiller,

Merci à tous pour vos inteventions,

Voila ce que tu vas faire

---------------------------------------------------------

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

-------------------------------------------------------

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

-------------------------------------------------------

Fais une recherche sur ton disque dur pour wsctf.exe (normalment, il se situe dans C:\windows\system32

Supprime le si tu le trouves

--------------------------------------------------------

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

-------------------------------------------------------

Avant de commencer, lis la licence de Blacklight (F-Secure)
En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

Télécharge maintenant Navilog1.zip (Il Mafioso)
Enregistre-le sur ton Bureau.
Dézippe le contenu de l'archive en faisant un Clique droit sur Navilog1.zip puis en choisissant Tout Extraire.

Double clique sur Navilog1.bat.
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
/!\ N'utilise pas l'option 2,3 et 4 sans notre accord /!\
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous le rapport en pièce jointe

NOTE : Le rapport se trouve également ici : %root%\fixnavi.txt

-------------------------------------------------------

Poste moi les deux rapports dans ta prochaine réponse

Bonne soirée,
Igor

[invite7ed50693]

hello
j'ai bien l'onglet gérer les pièces jointes.. le problème est que mon IE me bloque la fenetre ? comment faire pour ajouter une pièce jointe ?

[JPL]

Comment le bloque-t-il ? Est-ce une barre jaune en haut disant qu'un popup a été bloqué ? Y at-t-il un message ? Ou bien as-tu un pare-feu trop pointilleux ?

[invite7ed50693]

hello igor,

J'ai supprimé le wsctf.exe comme demandé
Ensuite j'ai fait mon scan kaspersky dont j'ai joint le rapport
file:///C:/Documents%20and%20Settings/Kung/Bureau/rapport_kaspersky.html . JE n'arrive pas à joindre la pièce ! Je t'ai mis le lien !!

Par contre je ne peux télécharger navilog car le lien donné ne fonctionne pas !! j'ai mon pc qui me dit que la page n'existe plus !!

Que dois je faire ?

Merci,

Oliver

[invite7ed50693]

voici le rapport que j'ai copié collé sur le bloc notes !!
dsl c pa super lisible et pour navilog, j'attends les instructions !!
merci encore,

oliver

[igor51]

Bonjour;

Voici la suite de la procédure :

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

   
  C:\Documents and Settings\All Users\Application Data\SoapMailSoftSend\balmhide.exe 	
  C:\Documents and Settings\All Users\Application Data\SoapMailSoftSend\Bend logo bat 	
  C:\Documents and Settings\All Users\Application Data\SoapMailSoftSend\bike lite.exe 	
  C:\Documents and Settings\All Users\Application Data\SoapMailSoftSend\defaultadmin.exe 	I
  C:\Documents and Settings\All Users\Application Data\SoapMailSoftSend\Exit 4.exe 	
  C:\Documents and Settings\All Users\Application Data\SoapMailSoftSend\PLAY BALL.exe 	
  C:\Documents and Settings\All Users\Application Data\SoapMailSoftSend\skip part.exe 
  C:\Documents and Settings\Kung\Application Data\Ford Error Hide\fspetbla.exe 	
  C:\Documents and Settings\Kung\Application Data\Ford Error Hide\kllcbvkv.exe 	
  C:\Documents and Settings\Kung\Application Data\Ford Error Hide\kulhqrtw.exe 	
  C:\Documents and Settings\Kung\Application Data\Ford Error Hide\mdcembqj.exe 	
  C:\Documents and Settings\Kung\Application Data\Ford Error Hide\olgtimvc.exe 	
  C:\Documents and Settings\Kung\Application Data\Ford Error Hide\pzibklme.exe 	
  C:\Documents and Settings\Kung\Application Data\Ford Error Hide\recttypemapiooze.exe 	
  C:\Documents and Settings\Kung\Application Data\Ford Error Hide\uqhrriag.exe 	
  C:\Documents and Settings\Kung\Application Data\Ford Error Hide\xrymflwt.exe
  C:\Program Files\Norton AntiVirus\Quarantine\1D215034 	
  C:\Program Files\Norton AntiVirus\Quarantine\7C814064

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

-------------------------------------------------------

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

    @ECHO OFF
    dir %Windir%\tasks /a h > files.txt
    notepad files.txt
    del /q files.txt
    exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : findjob.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier findjob.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

-------------------------------------------------------


Télécharge Dr Web Cure it

• Double clique sur drweb-cureit.exe puis sur Analyse. Accepte le scan rapide en cliquant sur Ok.
• Le programme va scanner la mémoire ton pc. Clique sur Oui pour supprimer ce qu'il te trouve. Cela ne devrai pas prendre longtemps.
• Une fois cela fait, clique sur Tous les disques durs.
• Clique sur la flèche verte à droite, en dessous du logo. Le scan va démarrer.
• Choisis "Oui pour tous" s'il te demande de nettoyer/déplacer (cure/move) les fichiers trouvés.
• Une fois le scan finis, tu devrais pouvoir cliquer sur cette icône =>
• Clique ensuite sur l'icône suivant et sélectionne "Move incurable".
  
• Une fois cela fait, fait Fichier - Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Il devrait se nommer DrWeb.csv.
• Redemarre ton ordinateur, car des fichiers peuvent necessiter un redemarrage pour être supprimés.
• Poste le contenu du rapport en pièces jointes (pense à renommer DrWeb.csv en DrWeb.txt).

-------------------------------------------------------

Poste les rapports suivants dans ta prochaine réponse:
- le findlop
- le rapport de DR web cure it
- le rapport de Move it qui se situe ici >> C:\_OTMoveIt\MovedFiles

Bonne journée,
Igor

[invite7ed50693]

hello igor,

Je voulais déja te joindre les rapports findlop et move it car je ne suis pas sur que c'est bien ça que tu veux !! findlop c'est bien le rapport issu du double clic de findjob.bat ? je voulais d'ailleurs t informer qu'une fenetre DOS s'est ouverte quand j'ai double cliquer sur findjob.bat
Cette fenetre me disait "fichier introuvable".

Tu as deux rapports move it car j'ai vu qua des fichiers étaient pas passés donc j'en ai fait un 2è (c'était pas une bonne idée d'ailleurs peut etre lol).

Je fais le scan de dr web cure et ensuite je te le joins !!

Merci et dis moi que s il te faut encore,

Oliver

[igor51]

Bonsoir,

si tu repasses avant de poster le rapport de dr web, fais ceci:

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

    @echo off
    cd C:\WINDOWS\Tasks
    attrib -r -s -h 4A1F2B591966339.job
    del 4A1F2B591966339.job
    exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : remlop.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier remlop.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

Bonne soirée,
Igor

[invite7ed50693]

hello igor,

c fait le remlop.bat meme si je ne sais pas à quoi ça sert mai sache que j'ai entièrement confiance lol

Je te joins le rapport de dr web !!

J'attends les instructions igor, bonne fin de week end !! je vais me coucher il est un peu 3h du mat en Chine.

Merci,

Oliver

[invite7ed50693]

hello again,

Je voulais t informer que le rapport de dr web a été fait avant la manip remlop ! Est ce que tu veux que je te refasse un scan dr web ou c'est bon ?

Sinon je voulais te demander vers le début de la discussion j'ai coché et décoché ds cases concernant des extension de fichiers, ds fichiers cachés et des fichiers liés au système etc. Dois je faire la procédure inverse pour les remmettre comme ils étaient à la base ?

Merci pour les réponses et j'attends tes nouvelles instructions,

Oliver

[invite7ed50693]

Hello igor,

j 'ai refait un scan dr web apré la manip remlop et il a dit que tout allait bien !!

Je vais surfer sur le web et aprés je vais lancer mes logiciels ad aware et spybot et on va voir ce que je trouve sur mon PC !!

Je te refais un scan kasperky ?
J'attends les instructions !

Oliver

[igor51]

Bonsoir,

Vi refais un scan avec kaspersky pour vérifier que tout est bien parti

Poste ensuite le rapport en pièce jointe.

Bonne soirée,
Igor

[invite7ed50693]

hello igor,

Je suis entrain de faire un scan kaspersky et je te poste le rapport quand c'est fini !!

sinon je voulais t informer que je trouvais des trucs pas très nets !! En fait chaque fois que je vais sur le net, juste aprés je coupe la connexion et je lance des scans spybot et ad aware !! Et je trouve toujours des trucs !! je te joins un scan de ad aware !! Dr web trouve rien mais par contre ad aware lui en trouve (chaque fois aprés avoir surfé sur le net) ; Que dois je faire ?

oliver


Je voulais t'informer que sur adware et sur spybot, ils trouvent des spyware à chaque fois que je le lance aprés avoir navi

[invite7ed50693]

c mieu avec le rapport lol !

[igor51]

Bonsoir olivier,

J'attends le rapport de kaspersky pour te répondre avec certitude, mais que je pense que tu trouves des cookies, ce qui est tout à fait normal

Bonne soirée;
Igor

[invite7ed50693]

hello igor,

J'ai refait un scan DR Web et je te raconte pas tout ce qu'il trouve encore !! Voici un autre rapport ! Ne devrais je pas effacer tous ces fichier infectés au lieu de les mettre en quarantaine ? Qu'en penses tu ?

Sinon voici le rapport de kasperky aussi et il est bourré de virus !! Dsl j arrive pas à enregistrer le rapport. j'ai du faire un copier coller manuel !!

J'attends ton avis !!

Merci d'avance,

Oliver

[igor51]

Bonjour Olivier,

Pas de problème, les fichiers détectés sont soit en quarantaine, soit dans la restauration système.

As-tu encore des problèmes?

Dès que tu me dis que tout va bien, on enlèvera tout ce qui reste.

Bonne journée,
Igor

[invite7ed50693]

hello igor,

Je crois que tout va bien !! J'ai lancé un scan de Dr Web et il a rien trouvé taleur !! J'ai lancé des scans de ad aware (a trouvé un cookie) et de spybot (rien trouvé) !!

je crois que tout va bien mais je vais relancer des scans demain.. La je vais surfer sur le web pour voir si jeme choppe des trucs !!

Je voulais te demander !! Qu'est ce que tu me conseille comme antivirus et antispyware de gratos !? et Comment faire pour plus rechoper ces trucs !!

MErci encore et j'attends les instructions pour nettoyer les fichiers infectés en quarantaine !!

Oliver

[igor51]

Bonsoir Olivier,

Tout d'abord fais ceci :

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

--------------------------------------------------------

Supprime les dossiers suivant ou leur contenu:

C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\Quarantine << contenu
C:\_OTMoveIt\ << le dossier
C:\Documents and Settings\Kung\DoctorWeb\ << le contenu


-------------------------------------------------------

Maintenant que ton système est sain, je t'encourage vivement à lire le dossier de prévention, qui te donnera toutes les indications dont tu as besion

Si tu as des questions, n'hésite pas,
Bonne soirée,
Igor

[invite7ed50693]

hello igor,

tout d'abord merci pour tout ! ensuite je voulais te demander si des cookies dataminer étaient dangereux pour le PC ! EN fait hier après être allé sur le net, j'ai fait un scan avec ad aware ce matin et il m'a trouvé des trucs qui sont dans la catégorie dataminer ! Est ce normal et/ou dangereux !?

Sinon merci pour les dernières instructions, je le ferai après avoir eu ta dernière réponse !!

Merci encore et merci de jeter un coup d'oeil rapidement sur le rapport ad aware que je t'ai joint et de me répondre !

Oliver