infection par un malware (spylocked)

[invite2624d633]

Bonjour,
en essayant d'installer un antispyware sur mon PC, je me retrouve infectée par spylocked (enfin je crois). Les symptômes sont une icone qui clignote en bas et qui m'envoie vers un site pour acheter des antispyware. Ce site est qualifié de dangereux par mon antivirus (spyware terminator) donc je n'y rentre pas.
J'ai réussi à enlever un autre symptome (le changement de ma page de démarrage) grâce à une astuce trouvée sur internet (à l'aide de smitfraudfix), mais la foutue icone (un point d'interrogation qui clignote et qui me dit "system alert votre ordinateur est infecté" toutes les deux minutes) ne part jamais...
J'ai effectué les opérations indiquées dans votre dossier au lien http://www.futura-sciences.com/compr...ssier701-6.php
Je vous mets donc en pièce attachée les deux rapports.

Merci de m'aider à terminer de résoudre le problème !!
-----

[yoda1234]

Bonjour,

non, tu as mal compris...

Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 4 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure

En résumé tu dois poster les rapports de:

• DiagHelp : inspection des dossiers clés
• Hijackthis : analyse des points clés du système

Édit: Bienvenue pour ton premier message.

[invite2624d633]

OK voici les deux rapports en pièces jointes.

[invitebf5cd8b2]

Bonsoir lilisa,

J'ai bien lu que tu avais utilisé Smitfraudfix...

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

Poste le rapport en pièces jointes.

Bonne soirée
Cyrrus

[A voir en vidéo sur Futura]

[invite2624d633]

Voilà le rapport,
(merci de ton aide...)

[invitebf5cd8b2]

Re,

Il faudrait que tu envoies un fichier sur un serveurs pour qu'il soit analysé. Cela permettra à Siri (le dev de Smitfraudfix) d'améliorer son outil.

1. Rends toi ici => http://secubox.gateweb.org/mad.php

Copie/colle le chemin du fichier dans la zone (juste à coté de "Parcourir").

Code:

C:\WINDOWS\system32\ilmpjy.dll

Dans la zone de description, met le lien de ton sujet :

http://forums.futura-sciences.com/thread142300.html


Puis clique ensuite sur Envoyer.

2.

Avant de commencer, lis la licence de Blacklight (F-Secure)
En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

Télécharge maintenant Navilog1.zip (Il Mafioso)
Enregistre-le sur ton Bureau.
Dézippe le contenu de l'archive en faisant un Clique droit sur Navilog1.zip puis en choisissant Tout Extraire.

Double clique sur Navilog1.bat.
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
/!\ N'utilise pas l'option 2,3 et 4 sans notre accord /!\
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous le rapport en pièce jointe

Je m'occuperai de Smitfraud demain, je suis très pris ce soir.

Bonne soirée
Cyrrus

[invite2624d633]

Merci encore de ton aide, j'ai fait tout ce que tu as dit, voilà le rapport,

[invitebf5cd8b2]

Re,

Pour s'occuper de navipromo :

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Double clique sur Navilog1.bat.
Choisis maintenant l'option 2 puis valide.
Laisse toi guider et réponds aux questions éventuelles.

Réponds aux questions éventuelles.
Ton bureau va disparaître, c'est normal !

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver en mode normal.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
Redémarre normalement puis poste le rapport sauvegardé auparavant.

NOTES :

• Le rapport se trouve également ici : %root%\cleannavi.txt
• Si ton Bureau ne réapparaît pas, fais ceci :
  -> Clique simultanément sur Ctrl + Alt + Suppr.
  Clique sur l'onglet Fichier puis choisis Nouvelle tâche.
  Tape Explorer puis valide.
  -> Choisis Exécuter..., tape Explorer puis valide.

Je m'occupe de Smitfraud demain.

Merci pour l'upload

Cyrrus

[invite2624d633]

Ok c'est fait, ci-joint le rapport,
mais l'icône clignotante est toujours bien là..........

[invitebf5cd8b2]

Bonjour lilisa,

mais l'icône clignotante est toujours bien là.........

Je m'occupe de Smitfraud demain.

1.

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

2. Fais Demarrer > Executer et tape :

Code:

regsvr32 /u C:\WINDOWS\system32\ilmpjy.dll

Valide par Entrée.

3. Supprime les fichiers suivant :

C:\WINDOWS\system32\ilmpjy.dll
C:\WINDOWS\unvise32qt.exe


4. Crée un fichier texte (Bloc Note) et copie colle à l'intérieur ce qui suit :

Code:

REGEDIT4


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{4233ac08-a2c4-4742-a0b4-83719613d62c}"=-

[-HKEY_CLASSES_ROOT\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}]

[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}]

Enregistre le sous le nom fix.reg

Double clique sur fix.reg et accepte le fusionnement avec la base de registre.

5. Télécharge Rogue Remover
Installe le. Met le à jour en cliquant sur "Check for Updates".
Clique ensuite sur Scan, et s'il trouve quelque chose clique sur Remove Selected.

6.

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi le rapport de Kaspersky, ainsi qu'un nouveau rapport de Smitfraudfix option 1 et un nouveau Diaghelp option 1, le tout en pièces jointes.

Bonne journée
Cyrrus

[invite2624d633]

Bonjour cyrrus !

Je bloque à l'étape 3 :
j'ai bien détruit C:\WINDOWS\unvise32qt.exe
mais l'ordinateur ne me laisse pas détruire C:\WINDOWS\system32\ilmpjy.dll

au lieu de le détruire une fenêtre s'ouvre avec écrit "cannot delete ilmpjy: access is denied, make sure the disk is not full or write-protected and that the file is not currently in use".
J'en reste donc à l'étape 3 et j'attends tes instructions.
J'ai fait ce que tu m'as dit dans le message privé.
Bises

[invite2624d633]

Je viens de refaire le processus, en fait c'est à l'étape 2 que ça bloque.
L'ordinateur m'envoie le message suivant :

"C:\WINDOWS\system32\ilmpjy.dl l was loaded but the dllunregisterserver entry point was not found. dllunregisterserver may not be exported, or a corrupt version of C:\WINDOWS\system32\ilmpjy.dll may be in memory. Consider using Pview to detect and remove it."

J'ai cliqué sur OK puis je suis passée à l'étape 3 et je n'ai pas réussi à détruire le fichier.
J'attends tes instructions.

[invitebf5cd8b2]

Re,

Je passe en coup de vent :

Pour supprimer le fichier récalcitrant, passe en mode sans échec, et supprime le.

Il y a encore quelques processus infectieux, on s'en occupera.

++
edit : on se croise...pour l'étape 2 ce n'est pas grave, passe à la suite.

[invite2624d633]

Ca ne marche pas !
Il refuse de le supprimer, même en mode sans échec, il me renvoie toujours le même message "cannot delete ilmpjy: access is denied, make sure the disk is not full or write-protected and that the file is not currently in use".
Il est corriace....
Qu'est-ce que je dois faire ?

[invite2624d633]

Pas de réponse... Comment faire pour effacer ce foutu fichier ?
J'ai ré-essayé de faire toutes les manoeuvres et même en mode sans échec, rien à faire.

Et l'icone est toujours là...

[JPL]

Les membres du groupe antimalware sont assez pris par leur travail ces temps-ci. Sois un peu patiente (euh, je pense que c'est un pseudo féminin).
Commence par vérifier (clic droit, Propriétés) que le fichier n'est pas en mode lecture seulement. Si c'est le cas supprime cette restriction.

Tu peux tenter ceci : menu Démarrer, Exécuter, tu tapes command.com et dans la fenêtre noire qui apparaît tu tapes

del \windows\system32\ilmpjy.dll

[invitebf5cd8b2]

Bonsoir lilisa, bonsoir JPL,

Bon, puisqu'il ne veux pas, on va sortir les grand moyen :

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

    C:\WINDOWS\system32\ilmpjy.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

Pense à me poste les autres rapports demandés précedemment. Je vais me renseigner sur ce fichier et les dépendances qu'il pourrait avoir.

Bonne soirée
Cyrrus

[invitebf5cd8b2]

Bonsoir,

Si ce n'est pas trop tard, comme les deux envois ont foirés. Peux tu mettre en pièces jointes le fichier renommé (si tu ne l'as pas dejà effacé bien sûr).

Désolé pour ce contretemps.

Cyrrus

[invite2624d633]

Miracle !!!! Ca y est vous avez réussi !!
Merci infiniment pour votre aide, vous êtes adorables.

J'ai fait tout ce que vous avez dit et ça a marché.
Le seul truc bizarre, c'est qu'au moment où j'ai fait l'analyse en ligne de skapersky, mon antivirus a détecté des envois de trojans (au moins 10) que j'ai aussitôt effacés : est-ce que ça vient du site ?
Et puis dans ma précipitation à vouloir effacer le maudit fichier, je n'ai pas lu ton dernier message... Désolée, c'est trop tard car il est parti (plus d'icone clignognante).
En tout cas je suis bien contente de m'être débarassée de cette saleté.
Ci-joint les rapports que tu m'as demandés (comme on ne peut pas joindre un fichier html, j'ai créé un fichier txt pour kaspersky).

Une dernière question : est-ce que je dois faire d'autres manips ou tout est bien clean maintenant ?
Mon antivirus ne détecte rien et tout a l'air normal.
Et aussi une autre question : est-ce qu'on pourrait effacer tous ces rapports que j'ai postés parce que c'est assez perso comme info, non ? (enfin au moins faire en sorte que tout le monde ne puisse pas les lire ?)

Merci encore de votre aide et je m'excuse d'avoir été impatiente.................... ...............
Bon il est très tard, je vais faire dodo,

à demain et merci encore,

[JPL]

Et aussi une autre question : est-ce qu'on pourrait effacer tous ces rapports que j'ai postés parce que c'est assez perso comme info, non ? (enfin au moins faire en sorte que tout le monde ne puisse pas les lire ?)

Il est tout à fait possible de supprimer les rapports, mais la discussion perd tout caractère informatif pour ceux qui voudraient apprendre des choses sur les virus et autres saletés.
Par contre ce qu'on a déjà fait à la demande d'au moins une personne, c'est d'effacer des lignes ayant un contenu personnel. Donc je t'invite à me contacter par message privé en me signalant dans chaque rapport les lignes ou morceaux de lignes à supprimer.

[invitebf5cd8b2]

Hello JPL,

Par contre ce qu'on a déjà fait à la demande d'au moins une personne, c'est d'effacer des lignes ayant un contenu personnel. Donc je t'invite à me contacter par message privé en me signalant dans chaque rapport les lignes ou morceaux de lignes à supprimer.

Je pense que cela se résume uniquement au nom de session, qui parfois peut donner le nom/prénom (ou les deux).

Je regarde tes rapports plus tard dans la journée, et te dit quoi faire pour terminer.

Bonne journée
Cyrrus

[invite2624d633]

Merci Cyrrus, j'attends tes instructions pour continuer.
Mon ordinateur n'a plus de son maintenant...

[invitebf5cd8b2]

Bonsoir lilisa,

Désolé du délai j'ai eu quelques soucis de connection.

Tu peux désinstaller via le panneau Ajout/Suppression de programmes Rootkit Unhooker et Rogue Remover.

Supprime ces fichiers que je n'aime pas bien :

Code:

C:\Program Files\Free-Spyware-Scanner-Install.exe
C:\Program Files\myprivacyfr.exe

Tu peux ausi supprimer OtMoveit et Smitfraudfix. Pour OTMoveit, pense à supprimer aussi le dossier : C:\_OTMoveIt

Mon ordinateur n'a plus de son maintenant...

..j'ai du mal à croire qu'il y a un lien avec ce que l'on a fait précédemment. Comment cela t'es il arrivé ?

Vérifie d'abord une chose :

Dans la barre des tâches en bas à droite, double clique sur l'icone haut parleur et vérifie qu'ils ne sont pas en muet ou abaisser au minimum.

Sinon, autre choses à vérifier :

Fais Demarrer > Clic droit sur Poste de Travail > Propriétés.

Va dans l'onglet Matériel et clique sur Gestionnaires de Périphériques.

Regarde si tu n'as pas de conflit : un conflit est symbolisé par un point d'exclamation sur fond jaune.

Bonne journée
Cyrrus
PS : En tout cas tu n'as plus d'infection. Je vais essayer aussi de régler le problème de son mais c'est moins ma paire de manche.

[invite2624d633]

Ok j'ai effacé tous les programmes que tu as dit.

Les hauts-parleurs ne sont ni muets ni abaissés au minimum, il n'y a pas de conflit, mais il n'y a plus de son.

D'autre part j'ai remarqué que certaines icones du bureau sont bizarres, plus grosses et plus caricaturales que d'habitude, les mêmes que quand tu passes en mode sans échec.... (comme celles qu'il y avait sur les anciens ordinateurs en mode VGA ou CGA je ne sais plus)

Le reste semble normal.

[invitebf5cd8b2]

Re,

A partir de quel moment cela t'es t-il arrivé ? Est ce certaines icones en particulier ou toutes ?

[invite2624d633]

Les icones qui sont directement sur le bureau sont normales, mais celles qui sont placées dans des dossiers (par exemple le dossier "jeu" du bureau ou dans le dossier windows) sont plus grosses, plus caricaturales.

Tout ça (le son et les icones) est arrivé depuis que j'ai fait toutes ces manips, je pense précisément avant-hier soir quand j'ai réussi à éjecter le fichier récalcitrant.....

Et puis je viens de refaire un scan avec l'antivirus et il m'a retrouvé 14 trojans dans le fichier "system volume information", ils se présentaient tous sous la forme :
C:\System Volume Information\_restore{D1982B28-D234-4BF6-8D95-36F35214EE60}\RP368\A0079707.d ll
Je les ai effacés...........

[invitebf5cd8b2]

Bonsoir lilisa,

A te lire je sens que tu décourages un peu..voire que tu m'en veux un peu. Honnêtement je comprends tes doutes mais ne vois pas comment les manips faites aurait pu mettre un tel boxon.

Pour les bestioles trouvées dans la resto ca ne m'inquiète pas, je ne pense pas qu'il reste quelque chose sur ton pc (je vais quand même me renseigner).

Pour nettoyer ta restauration :

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

Si tu as toujours Diaghelp sous la main, lance le et choisis l'option 2 cette fois. Poste en suite le rapport.

Je vais tacher de me renseigner aussi sur la disparition du son et ces icones u peu "bizarre" (pourrais tu me faire une copie d'écran qu je vois à quoi ils ressemblent ?)

Désolé pour ce qui t'arrive en tout cas

Cyrrus
PS : Je serai absent Samedi/Dimanche. Je tacherai de te répondre dans la soirée.

[invite2624d633]

Bon je suis stupide........ Résultat que les manips ont dû juste changer la présentation dans les dossiers, tout était en "tile" et il suffisait d'appuyer sur "icons" pour que tout redevienne normal...... Donc oublie le problème des icones, c'est résolu et je suis trop bête..........

Ce soir je vais sortir, donc on remet mon problème de son à lundi si tu veux.......... Et puis j'ai effacé diaghelp, je t'enverrai un rapport ce week-end car là je n'ai pas le temps.
Je ne t'en veux pas du tout !!! Bien au contraire, je te remercie infiniment pour ton aide. C'est juste que je ne suis pas très douée en informatique...

Passe un bon week-end !!