Cheval de troie ? et autre chose...

[invitea071490b]

Bonsoir à tous,

Le PC concerné est un portable compaq presario 2500, Win XP familiale, avec Avast.
Depuis qq jours avast se lance parfois "Un cheval de troie a été trouvé" => mettre en quarantaine, puis plus rien pdt qq heures, parfois jours.
Aujourd'hui en allant sur le net (pas de navigation internet les jours précédent car pas besoin), fenêtre de pub "télécharger drivecleaner, etc..." et avast qui se lance avec "un virus a été trouvé" (1ere qu'il dit virus et pas cheval de troie), imposible de supprimer ou de mettre en quarantaine car le fichier est utilisé...redémarrage...imposs ible de refaire démarrer windows => écran bleu avec message d'erreur (trop rapide) et reboot automatique avant même de pouvoir choisir un utilisateur...
Redémarrage en mode sans échec marche (c'est grâce à ça que je peux faire ce message).
Restauration inefficace.

J'ai fait la procédure
diaghelp ne me demande pas de redémarrer et ne me sort aucun rapport, juste
"scan completed succesfully
hidden processes : 0
hidden services : 0
hidden files : 55"

et le rapport hijackthis en pièce jointe.


Merci d'avance
-----

[invite275db609]

Bonjour

Et bien, effectivement une belle infection ...
Voila ce qu'on va commencer par faire :

• Avant de commencer, lis la licence de Blacklight (de F-Secure)

En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

• Télécharge maintenant Navilog1.zip (de Il Mafioso)
• Enregistre-le sur ton Bureau.
• Dézippe le contenu de l'archive en faisant un Clique droit sur Navilog1.zip puis en choisissant Tout Extraire.

• Double clique sur Navilog1.bat.
• Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
  /!\ N'utilise pas l'option 2 sans notre accord /!\
• Patiente jusqu'à l'apparition de ce message :
  "*** Analyse Termine le ..... ***"
• Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :
  
  -> Edition / Sélectionner tout
  -> Edition / Copier
  -> Clique-Droit / Coller dans ta réponse
  NOTE : Le rapport se trouve également ici : C:\fixnavi.txt

• Télécharge puis installe AVG Anti-Spyware (AVG AS) : http://www.ewido.net/en/download
• Une fois AVG AS lancé, clique sur "Mise à jour"
• Ferme le programme.

Redémarre en mode sans échec

• Relance AVG AS puis choisis l'onglet "Analyse"
• Puis l'onglet "Paramètres"
• Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
• Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
  Si un fichier est infecté détécté en fin d'analyse
• Clique sur "Appliquer toutes les actions"
• Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
• Enregistre ce fichier texte sur ton bureau.

Redémarre normalement.

Poste moi les 2 rapports, ainsi qu'un nouveau hijackthis en mode normal stp.

PS : quand tu as fait ton log hijack, catchme tournait encore (il a été intégré dans Diaghelp), c'est peut etre pour ca que tu n'a pas eu de rapport, il aurait peut-etre encore fallu attendre un peu, si tu peux reessayer de me sortir ce rapport, ce serait vraiment bien ...

Bonne journée

[invitea071490b]

Bonjour synthexe et merci de ton aide

Alors j'ai suivi tes instructions, pour le rapport navilog, pas de pb il est en pièce jointe.

Le scan AVG-AS a posé plus de pb car en fait, je n'arrivais pas à faire un scan complet jusqu'au bout : j'avais un écran bleu au bout d'un moment (le même genre que l'erreur que j'ai en mode normal ms là je l'avais en mode sans échec pdt le scan).
Cmme après 2-3 scan cette erreur se produisait tout le temps vers le même endroit (C:\RECYCLERS...) j'ai annuler l'analyse vers cet endroit avant que cela ne plante et suivit le reste de tes instructions (appliquer les actions) et obtenu un rapport (n°1).
Après redémarrage, mode sans échec (mode normal faisit tjs écran d'erreur) et nouveau scan AVG-AS qui cette fois-ci est allé au bout => appliquer toutes les actions, 2ieme rapport (à noter que j'ai fait appliquer les actions et on me recommandait de redémarrer tout de suite pour effacer toutes les traces, ce que je n'ai pas fait car je n'avais pas encore enregistrer le 2ieme rapport, j'ai redémarré après).
Après redémarrage, mode sans échec (mode normal tjs en erreur), nouveau scan (j'avais du temps hier soir, avec la V4 =) )j'espérais avoir un scan clean mais non...donc pareil, sauf que là pour redémarrer qd il me le disait, j'ai "enregistrer le rapport" (n°3) puis "apppliquer les actions" et rédémarré direct comme il était recommandé apparemment...le mode normal ne marchant tjs pas, j'ai refait un hijackthis en sans échec...
Quant à diaghelp, j'ai refait et il s'arrete tjs au mm endroit...sans demander redémarrer...juste scan completed successfully...


j'ai préféré trop détaillé que pas assez...désolé si c'est un peu trop.


Merci d'avance.


Tizen


PS : J'ai eu qq difficultés à uploader les pièces jointes car aucun explorateur ne s'ouvre qd je clique sur parcourir.
J'ai donc du taper les adresses des fichiers sur mon disque à la main.
J'espère que vous les verrez correctement (que je n'ai pas fait d'erreurs ds les adresses...)
Aucune idée d'où cela peut venir, j'suis sous IE6, et aucun pb avec le 1er mess...

[invite275db609]

Bonsoir Tizen

Merci pour les détails, tu as raison, il vaut mieux trop que pas assez, enfin, moi je préfere

Tu es effectivement encore bien infecté, on continue la désinfection :

• Télécharge LSPFix : http://www.cexx.org/LSPFix.exe
  
• Lance LSPfix.exe
• Agrandir la fenetre.
• Coche "I'm know what i'm doing".
• Fais passer de la colonne de gauche (keep) à la colonne de droite (remove) les dlls suivantes (toutes les instances) :
  

  esyox.dll

• Puis clique sur Finish.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
• Clique sur le bouton Scan for Vundo
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Dobjh] C:\Program Files\Kikh\Uuhurri.exe
O4 - HKLM\..\Run: [ELrrR1X] C:\WINDOWS\yfrrmb.exe
O4 - HKLM\..\Run: [¢‰¸K0¨4W
}ïÁzîžigÝC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\yfrrmb.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\ruwqxjdi. dll",realset
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

• Télécharge OTMoveIt de OldTimer : http://download.bleepingcomputer.com...r/OTMoveIt.exe .
• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier):

Code:

C:\Program Files\Kikh\Uuhurri.exe
C:\WINDOWS\yfrrmb.exe
C:\WINDOWS\system32\ruwqxjdi.dll
c:\windows\system32\esyox.dll
C:\WINDOWS\system32\__delete_on_reboot__f_._d_l_l_
C:\WINDOWS\system32\fccywut.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le bouton rouge Moveit!.
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Poste moi le rapport vundofix, un nouveau rapport hijactkhis et celui de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles
Essaye de repasser diaghelp et AVG.

Bonne soirée

[A voir en vidéo sur Futura]

[invitea071490b]

Bonsoir synthexe ,

Partie LSPFix : Je n'ai pas de "esyox.dll", j'ai juste 4 lignes :
mswsock.dll TCP/IP
winrnr.dll NTDS
tptzuyrfryyog.dll (Protocol handler)
rsvpsp.dll (Protocol handler)

Donc, je n'ai rien fait avec LSPFix.


Partie Vundo : Effectivement, à un moment il me demande de redémarrer pour effacer certains fichiers, sauf qu'au reboot (sans échec car mode normal tjs pas) Vundo ne se lance pas et qd je le lance manuellement => remove Vundo => besoin de redémarrer pour effacer certains fichiers et ainsi de suite. (j'ai quand même mis le rapport évidemment )

C'est à ce moment que j'ai fait le nouveau rapport HijackThis (je précise pour la chronologie )

Partie HijackThis (System Scan Only) :
Toutes les lignes étaient présentes, et tout c'est passé comme prévu (enfin prévu par toi parce que là, je prévois plus grand chose... )

Partie OTMoveit : je crois bien qu'il ma demandé de redémarrer (j'suis plus sur là...), et je t'ai mis le rapport en pièce jointe comme demandé.

Finalement, Diaghelp m'a sorti un rapport

J'ai tenté AVG mais j'ai eu le même type d'erreur (écran bleu) en cours de scan (au moment de l'erreur il y avait 2 objets infectés par 2 "Ad-qqch" catalogué comme risque modéré, en tout cas ce n'était ni "trojan" ou "backdoor" comme je l'avais eu lors de précédents scans AVG)



Voilà, merci encore infiniment pour ton aide.



Tizen


PS : je pense à 2 choses que je n'ai pas précisé, peut-être que c'est sans importance même je précise quand même
> quand je démarre en mode sans échec, j'ai le choix entre "mode sans échec" et "mode sans échec avec prise en charge des paramètres réseaux", je prends tjs le 2ieme car sinon j'pense que internet ne fonctionnerait pas (je pourrai faire le test d'ailleurs ! )
> et en mode sans échec je choisis tjs l'utilisateur "administrateur" et non un des "utilisateurs classiques" du PC.

[invite275db609]

Bonjour ...

Reprends la procédure OTmoveIT, en notant ceci :

Code:

C:\WINDOWS\System32\ddfhk.tmp
C:\WINDOWS\System32\ddfhk.ini
C:\WINDOWS\System32\ppfmceih.ini
C:\WINDOWS\System32\hiecmfpp.dll
C:\WINDOWS\System32\tptzuyrfryyog.dll
C:\WINDOWS\System32\__delete_on_reboot__e_s_y_o_x_._d_l_l_
C:\WINDOWS\System32\idjxqwur.ini
C:\WINDOWS\System32\pdp.exe.exe
C:\WINDOWS\System32\cent.exe.exe
C:\WINDOWS\System32\winsub.xml
C:\WINDOWS\System32\svcp.csv
C:\WINDOWS\System32\ruwqxjdi.dll
C:\WINDOWS\System32\kjpumpjg.ini
C:\WINDOWS\System32\friuqjlc.dll
C:\WINDOWS\System32\mkyxachv.dll 
C:\WINDOWS\System32\axblpdnn.dll
C:\WINDOWS\System32\ectwbhjx.dll
C:\WINDOWS\System32\iqjnycmy.dll
C:\WINDOWS\System32\fxnxvafk.dll
C:\WINDOWS\System32\cbonpohx.dll
C:\WINDOWS\System32\cladfjxq.dll
C:\WINDOWS\System32\myrxyxcq.dll
C:\WINDOWS\system32\bdvkavyx.dll
C:\WINDOWS\system32\axblpdnn.dll
C:\WINDOWS\system32\cladfjxq.dll
C:\WINDOWS\system32\ectwbhjx.dll
C:\WINDOWS\system32\friuqjlc.dll
C:\WINDOWS\system32\fxnxvafk.dll
C:\WINDOWS\system32\hiecmfpp.dll
C:\WINDOWS\system32\iqjnycmy.dll
C:\WINDOWS\system32\khfdd.dll
C:\WINDOWS\system32\lpjiqynu.dll
C:\WINDOWS\system32\majoqwvn.dll
C:\WINDOWS\system32\mkyxachv.dll
C:\WINDOWS\system32\myrxyxcq.dll
C:\WINDOWS\system32\nptxubyc.dll
C:\WINDOWS\system32\ruwqxjdi.dll
C:\WINDOWS\system32\shepuxuo.dll
C:\WINDOWS\system32\sssyxnuh.dll
C:\WINDOWS\system32\tptzuyrfryyog.dll
C:\WINDOWS\system32\ucxcfhwy.dll
C:\WINDOWS\system32\urfrnfbw.dll
C:\WINDOWS\system32\wxbmksac.dll
C:\Program Files\Kikh\Uuhurri.exe
C:\WINDOWS\yfrrmb.exe
C:\WINDOWS\system32\ruwqxjdi.dll

• Lance LSPfix.exe
• Agrandir la fenetre.
• Coche "I'm know what i'm doing".
• Fais passer de la colonne de gauche (keep) à la colonne de droite (remove) les dlls suivantes (si trouvées) :
  

  tptzuyrfryyog.dll

• Puis clique sur Finish.

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Dobjh] C:\Program Files\Kikh\Uuhurri.exe
O4 - HKLM\..\Run: [ELrrR1X] C:\WINDOWS\yfrrmb.exe
O4 - HKLM\..\Run: [¢‰¸K0¨4W
}ïÁzîžigÝC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\yfrrmb.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\ruwqx jdi. dll",realset

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

Repasse Vundofix stp.

Reposte moi aussi un nouveau rapport diaghelp (option1) et un nouveau rapport hijackthis en plus de vundofix et OTmoveIT.

Bonne journée

[invitea071490b]

Bonsoir synthexe ,


Partie OTMoveit : OK, le rapport est joint


Partie LSPFix : OK, juste à noter que lorsque je l'ai démarré, "tptzuyrfryyog.dll" était déjà dans la colonne remove, j'ai donc juste cliqué sur Finish. Rapport joint


Partie HijackThis (System Scan Only) : Je n'avais qu'une seule ligne parmi les 6 que tu m'avais indiquées (celle se terminant par "dumprep 0 -k")
J'avais une ligne très proche de la dernière que tu m'avais indiqué (juste "ruwqx jdi.dll" remplacé par "hiecmfpp.dll").
Dans le doute je n'ai coché que la ligne strictement identique aux tiennes (juste coché "dumprep 0 -k")


Partie Vundo : Il me demande de redémarrer pour effacer un fichier et Vundo ne se relance pas après reboot
=> redémarrage manuel
=> il y a 2 noms de fichiers dans la fenêtre Vundo (sans que je refasse de nouveau scan)
> C:\WINDOWS\system32\ddfhk.ini
> C:\WINDOWS\system32\khfdd.dll
=> je clique sur remove vundo
=> besoin de redémarrer
=> démarrage manuel de Vundo
=> aucun nom de fichier dans la fenêtre Vundo
Je t'ai mis le rapport...


DiagHelp et HijackThis en mode sans échec, comme le reste.



Encore et toujours merci (non je ne me lasserai pas de le dire ), en plus de prendre de ton temps un 1er mai...

Bonne journée,


Tizen

[invitef0d71f88]

formate et installe linux lol

non mais tu peut faire une detection de virus dés le demarrage de windows grace a avast ta essayer ? sa résoud beaucoup de problem

[yoda1234]

formate et installe linux

Bonsoir,

c'est ce que l'on appelle une remarque inutile.

non mais tu peut faire une detection de virus dés le demarrage de windows grace a avast ta essayer ? sa résoud beaucoup de problem

Vu les outils spécifiques qu'utilise synthexe, cela m'étonnerais que ce soit efficace...De plus, il est de bon ton de ne pas interférer sur une procédure de désinfection en cours.

Je rajoute en tant que modérateur:

Respectez les lecteurs du forum, n'écrivez pas vos messages en style SMS ou phonétique. Utilisez la fonction "prévisualisation" pour vous relire et limiter les fautes d'orthographe.

Merci d'en tenir compte à l'avenir.

[invite275db609]

Bonjour

Désolé, pas eu le temps de passer hier et de prendre le temps de rédiger une procédure ...

Allez, on enchaine :
Reprend OTmoveIT et colle ceci :

Code:

C:\WINDOWS\System32\ddfhk.ini
C:\WINDOWS\System32\ruwqxjdi.dll
C:\WINDOWS\System32\friuqjlc.dll
C:\WINDOWS\System32\mkyxachv.dll
C:\WINDOWS\System32\axblpdnn.dll
C:\WINDOWS\System32\ectwbhjx.dll
C:\WINDOWS\System32\iqjnycmy.dll
C:\WINDOWS\System32\fxnxvafk.dll
C:\WINDOWS\System32\cbonpohx.dll
C:\WINDOWS\System32\cladfjxq.dll
C:\WINDOWS\System32\myrxyxcq.dll
C:\WINDOWS\System32\sssyxnuh.dll
C:\WINDOWS\System32\urfrnfbw.dll
C:\WINDOWS\System32\iehkpijh.dll
C:\WINDOWS\System32\bdvkavyx.dll
C:\WINDOWS\System32\shepuxuo.dll
C:\WINDOWS\System32\aswjaoqm.dll
C:\WINDOWS\System32\lpjiqynu.dll
C:\WINDOWS\System32\majoqwvn.dll
C:\WINDOWS\System32\nptxubyc.dll
C:\WINDOWS\system32\aswjaoqm.dll
C:\WINDOWS\system32\axblpdnn.dll
C:\WINDOWS\system32\bdvkavyx.dll
C:\WINDOWS\system32\cbonpohx.dll
C:\WINDOWS\system32\cladfjxq.dll
C:\WINDOWS\system32\ectwbhjx.dll
C:\WINDOWS\system32\friuqjlc.dll
C:\WINDOWS\system32\fxnxvafk.dll
C:\WINDOWS\system32\iehkpijh.dll
C:\WINDOWS\system32\iqjnycmy.dll
C:\WINDOWS\system32\khfdd.dll
C:\WINDOWS\system32\majoqwvn.dll
C:\WINDOWS\system32\mkyxachv.dll
C:\WINDOWS\system32\myrxyxcq.dll
C:\WINDOWS\system32\nptxubyc.dll
C:\WINDOWS\system32\ruwqxjdi.dll
C:\WINDOWS\system32\shepuxuo.dll
C:\WINDOWS\system32\sssyxnuh.dll
C:\WINDOWS\system32\wxbmksac.dll
C:\WINDOWS\system32\hiecmfpp.dll

Relance LSPFix, en choisissant les dlls suivantes :

Code:

qlziuiuimbmad.dll

• Double-clique VundoFix.exe afin de le lancer.
• Coche Run VundoFix as a task.
• Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Si l'outil rapporte qu'aucune infection n'a été trouvée ("No infected files were found"), fais un clic droit dans la fenêtre blanche et clique "Add more files?"
• Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut):
  C:\WINDOWS\system32\ddfhk.dll
• Copie/colle le chemin du fichier suivant dans la seconde case (au centre):
  C:\WINDOWS\system32\khfdd.dll
• Clique sur le bouton "Add File(s)"
• Clique sur le bouton "Close Window"
• Clique à nouveau sur "Remove Vundo"
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Relance a nouveau vundofix.

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\hiecmfpp. dll",realset
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre ton poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

• Analyse ce fichier ndis.sys chez virustotal :
  http://www.virustotal.com/xhtml/virustotal_en.html
• Clique sur parcourir localise le fichier sur ton disque dur ( C:\WINDOWS\System32/drivers\ndis.sys ) et clique sur send
• Attend le rapport et colle le dans ta prochaine réponse

Poste moi a nouveau les memes rapports que précedemment (des nouveaux, hein ) :
OTmoveIT, vundofix, virustotal, un nouveau diaghelp et un nouveau hijackthis.

Bonne soirée

[invitea071490b]

Bonsoir synthexe,


Partie OTMoveit : OK, le rapport est joint


Partie LSPFix : OK


Partie Vundo : Je n'ai pas la possibilité de coher "as a task" (j'ai une fenêtre comme celle-là et non comme celle-ci...je ne sais pas pourquoi ? à cause du mode sans échec ?)
Le scan trouve tjs les 2 mm fichiers (ddfhk.ini et khfdd.dll)
=> Remove Vundo
=> Besoin redémarrer pour effacer un fichier et Vundo ne se relance pas après reboot
=> Redémarrage manuel de Vundo
=> Tjs les 2 fichiers dans la fenêtre Vundo (sans que je refasse de nouveau scan)
=> Add files "ddfhk.dll"
=> Remove vundo
=> Besoin redémarrer pour effacer un fichier et Vundo ne se relance pas après reboot
=> Redémarrage manuel de Vundo
=> aucun nom de fichier dans la fenêtre Vundo
Je t'ai mis le rapport...


Partie HijackThis (System Scan Only) : OK, les 2 lignes étaient présntes


Partie VirusTotal : je trouve bien le fichier sur mon disque mais le rapport me dit juste "0 bytes size received / Se ha recibido un archivo vacio"
Pourtant le fichier existe bien...274 Ko, créé le 30/08/2002, modifié le 27/04/2007.


Puis un DiagHelp et un HijackThis



Merci (et pas de quoi t'excuser de ne pas être passer plus tôt, pas de soucis, ya la vraie vie aussi dans la vie, n'est-ce pas ? )




Bonne soirée,

Tizen

[invite275db609]

Bonjour Tizen.

Je vais aller me renseigner un peu plus, parce que la, les fichiers virtumonde continuent d'etre généré, un d'eux ne veux pas se laisser éradiquer, ni par vundofix, ni par OTmoveIT.

Un peu de patience, on va y arriver

@ + tard, je poste dès que j'ai des nouvelles...

[invite275db609]

Reu

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

@ + tard

[invitea071490b]

Salut synthexe (Saint Ex )

Je crois qu'on commence à voir le bout là

J'ai passer SDFix, avec le début de la proédure en mode sans échec et au reboot j'ai laissé faire (mode normal, je veux dire) et ?
c'est passé ! (première fois depuis des lustres que ça boot en mode normal )
Le processus a continué comme prévu et là je tape ce message d'une session "utilisateur normal"

Je t'ai mis le rapport SDFix avec un nouveau HijackThis (en mode normal donc...j'insiste mais ce doit être l'émotion )
Peut-être reste-t-il qq bêbêtes ?
Mais là ça va bcp mieux d'un coup, a priori je ne constate plus de symptomes visibles.

Merci encore !



Tizen

[invite275db609]

Bonjour Tizen

J'ai été tres pris ce WE ...
Je suis vraiment tres content que ta machine se comporte mieux, SDFix a très bien bossé (sur les bons conseils de Malekal_morte).

Passe a nouveau LSPFix stp, en choisissant la dll suivante :

zfrfphyhjitze.dll

A priori, c'etait ndis.sys qui générait ce LSP, vu qu'il a été restauré par SDFix, il ne devrait plus y'avoir de nouvelles apparitions.

Poste moi a nouveau un rapport hijactkhis (mais avant de poster ton rapport, renomme hijackthis.exe en Futura.exe, stp).

Bonne journée

[invitea071490b]

Bonjour ,

Ok pour LSPFix et le log HijackThis (euh rien à voir ms à quoi cela peut-il bien servir de renommer HijackThis.exe ? )

Merci



Tizen

[invite275db609]

Bonsoir Tizen

[quote(euh rien à voir ms à quoi cela peut-il bien servir de renommer HijackThis.exe ? [/quote]
Renommer hijackthis permet de voir apparaitre les fichiers virtumonde caché présent en O2 et O20 :

Code:

O2 - BHO: (no name) - {5654FB86-491B-4FAB-9629-C19E948AFF78} - C:\WINDOWS\system32\friuqjlc.dll
O2 - BHO: (no name) - {C4B65F8F-1BD6-47DA-9950-69C2AB8FE222} - C:\WINDOWS\system32\khfdd.dll
O20 - Winlogon Notify: fccywut - fccywut.dll (file missing)
O20 - Winlogon Notify: khfdd - C:\WINDOWS\system32\khfdd.dll

• Double-clique VundoFix.exe afin de le lancer.
• Coche Run VundoFix as a task.
• Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Si l'outil rapporte qu'aucune infection n'a été trouvée ("No infected files were found"), fais un clic droit dans la fenêtre blanche et clique "Add more files?"
• Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut):
  C:\WINDOWS\system32\khfdd.dll
• Copie/colle le chemin du fichier suivant dans la seconde case (au centre):
  C:\WINDOWS\system32\ddfhk.dll
• Clique sur le bouton "Add File(s)"
• Clique sur le bouton "Close Window"
• Clique à nouveau sur "Remove Vundo"
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Bonne soirée

[invitea071490b]

Bonjour Synthexe

Les 2 rapports en pièce jointes

Pour vundo, je ne peux pas mettre "as a task" mais le scan a trouvé pas mal de choses.
Par contre pour la première fois depuis que le mode normal remarche, Avast s'est déclenché après au reboot (après avoir passé Vundo donc) :
"un cheval de troie a été trouvé" et c'était "C:\windows\system32\zfrfphyhj itze.dll"
j'ai fait "mettre en quarantaine"


Voilà, merci encore

Bonne journée.

[invite275db609]

Bonsoir Tizen

Ferme le TeaTimer de Spybot le temps des opérations suivantes.

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O2 - BHO: (no name) - {5654FB86-491B-4FAB-9629-C19E948AFF78} - C:\WINDOWS\system32\friuqjlc.d ll
O2 - BHO: (no name) - {668D4563-226E-46B6-9521-E57EF6B17AA7} - C:\WINDOWS\system32\khfdd.dll (file missing)
O2 - BHO: (no name) - {EC0333E0-6083-4E32-9532-852FA5992CE2} - (no file)
O20 - Winlogon Notify: fccywut - fccywut.dll (file missing)

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

Relance vundofix.

Relance OTmoveIT en saisissant :

Code:

C:\WINDOWS\system32\friuqjlc.dll

Relance l'option1 de diaghelp.

Je pense qu'on arrive au bout ... j'espere

Poste moi les rapports de vundofix, OTmoveIt, diaghelp, et un nouveau hijackthis en mode normal.

Bonne nuitée

[invitea071490b]

Bonsoir synthexe,

Pour spybot, en théorie il est désinstallé

Pour vundo, le scan n'a rien trouvé alors j'ai ajouté les 2 manuellement (du post d'avant)

Sinon lorsque que diaghelp faisait son scan, Avast s'est déclenché 2 fois de suite "un cheval de troie a été trouvé" avec :
c:\windows\system32\cbonpohx.d ll
c:\windows\system32\qlziuiuimb mad.dll
=> mise en quarantaine pour les 2.
(voit-on vraiment le bout... )

Voilà, les 4 rapports en pièces jointes,

Bonne soirée



Tizen

[invite275db609]

Bonsoir Tizen

Ne te décourage pas, ton probleme était épineux et je pense qu'on a fait le plus dur.

Que sais-tu de ces 2 programmes ??
c:\Documents and Settings\Momo\net.exe
c:\Documents and Settings\Momo\oo.exe

Lance OTmoveIT en saisissant :

Code:

C:\WINDOWS\System32\qlziuiuimbmad.dll
C:\WINDOWS\System32\mkyxachv.dll
C:\WINDOWS\System32\axblpdnn.dll
C:\WINDOWS\System32\iqjnycmy.dll
C:\WINDOWS\System32\cbonpohx.dll
C:\WINDOWS\System32\cladfjxq.dll
C:\WINDOWS\System32\sssyxnuh.dll

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O2 - BHO: (no name) - {5654FB86-491B-4FAB-9629-C19E948AFF78} - C:\WINDOWS\system32\friuqjlc.d ll (file missing)
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi le rapport OtmoveIT, celui de Kaspersky online, et un nouveau hijackthis.

Bonne soirée/nuitée

[invitea071490b]

Bonjour Synthexe

Tant que tu te lasses pas je garde courage

"net.exe" ça ne me dit vraiment rien du tout, c'est le PC de mon père et il en a une utilisation très basique (internet, bureautique...)

"oo.exe" OpenOffice peut-être ? En tout cas, comme il n'y pas MS-Office sur ce PC il y a bien OpenOffice mais si ce n'est pas ça, je ne vois pas non plus.

Il est très possible que ce PC soit pollué de nombreux résidus d'utilitaires (Freeware/Shareware...) n'ayant servi qu'une ou deux fois et mal ou non désinstallé, et qu'un grand ménage soit nécessaire (pour accélérer le démarrage par exemple...) donc là les 2 pg en question pourraient tout-à-fait faire partie de ce joyeux boxon...


Sinon, les 3 rapports demandés sont là, comme tu le verras, Kaspersky a trouvé un paquet de bestioles...(mais on va y arriver, j'm'inquiète pas )

Merci à toi.
Bonne après-midi.


Tizen

[invite275db609]

Bonjour Tizen

Tant que tu te lasses pas je garde courage

Ne t'inquietes pas, moi je ne lache pas l'affaire !!

Allez, on enchaine, les 2 fichiers dont je te parlais sont bien néfaste (détecté par Kaspersky) ...

Finissons ce nettoyage :
Lance OTmoveIT en saisissant :

Code:

C:\Documents and Settings\Momo\Local Settings\Application Data\Mozilla\Firefox\Profiles\wh67g8g5.default\Cache\AE882587d01
C:\Documents and Settings\Momo\net.exe
C:\Documents and Settings\Momo\oo.exe
C:\Program Files\Mozilla Firefox\net.exe
C:\Program Files\Mozilla Firefox\oo.exe

Le reste des fichiers se trouvent dans les backups de vundofix, hijack, et OtmoveIT, ainsi que dans la restauration systeme ...

As-tu encore des dysfonctionnements ??
Je crois qu'on touche a la fin, encore un post ou deux, histoire d'effacer les traces de mon passage, et tout devrait etre parfait.

Bon WE

[invitea071490b]

Bonsoir Synthexe ,

Non plus de symptomes visibles a priori

Si l'on s'approche de la fin, j'aurais deux petites questions :
D'abord est-ce que tu aurais des sites ou de la doc à me conseiller sur ce sujet (apprendre à lire les logs, comprendre un peu mieux tout ce que tu viens de faire en fait)...oui je sais il y a google pour ce genre de question mais je me dis que si c'est la millième fois qu'on te pose la question tu as peut-être qq favoris pertinents sous la main
Et puis j'aimerais bien faire le tri sur tous les programmes qui se lancent au démarrage pour rien (genre quicktime et consort), j'vais chercher aussi avec mon ami google mais on sait jamais (euh j'abuse là...ok je sors )

Merci pour tout en tout cas, j'attends tes instructions pour terminer tout ça.
Bonne nuit.



Tizen


PS : euh...ça fait bizarre de poster sans un message sans y mettre une avalanche de pièces jointes (me sens moins malade dun coup.. )

[invite275db609]

Bonjour Tizen

Non plus de symptomes visibles a priori

Super, ca fait bien du plaisir à entendre

Supprime/désinstalle tous les programmes que je t'ai fait installé (avec leur backup et rapport) ... tu peux garder AVG-AS et ATF-cleaner pour un nettoyage hebdomadaire.

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Types
Ton infection : Vundo/Virtumonde

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Si tu veux plus d'infos, tu peux peut-etre me contacter en PM

Bon début de semaine.