Malware non identifié (??)

[invite148d3cdc]

Bonjour,

J'ai scrupuleusement suivi la procédure dont vous trouverez les rapports ci-joint.
Malgré plusieurs outils antivirus, firewall et antispyware, je constate depuis plusieurs semaines des comportements inhabituels de mon pc :
- 10mn (au moins) pr booter
- il met >10 sec pour ouvrir un doc ou une page web
- feneêtre publicitaires ( poker, porno...) dès la 1è ouverture du navigateur
- le plus embêtant : un cheval de troie ( détecté par mon antivirus ) "drivecleaner" ( ou équivalent ) qui tente sans cesse de me persuader d'installer un outil de scan.

voila voila, merci d'avance de votre aide.
-----

[Cyrrus]

Bonsoir sevem,

J'ai scrupuleusement suivi la procédure dont vous trouverez les rapports ci-joint.

Un peu trop même, la partie antirootkit était optionelle (comme marqué dans le sommaire, ainsi que dans le titre de la partie elle même).

Tu a une sacré infection.

1.

Avant de commencer, lis la licence de Blacklight (F-Secure)
En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

Télécharge maintenant Navilog1.zip (Il Mafioso)
Enregistre-le sur ton Bureau.
Dézippe le contenu de l'archive en faisant un Clique droit sur Navilog1.zip puis en choisissant Tout Extraire.

Double clique sur Navilog1.bat.
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
/!\ N'utilise pas l'option 2,3 et 4 sans notre accord /!\
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous le rapport en pièce jointe

2. Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

3. Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

4. Toujours en mode sans échec :

Lance Hijackthis, clique sur Do a system scan only, et coche les lignes suivantes :

Code:

O2 - BHO: (no name) - {C5E02D55-E7B6-4AD1-8140-D418D409A047} - C:\WINDOWS\system32\ddcywxx.dll
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\lvfqbaig.dll
O2 - BHO: (no name) - {F1E693A3-6CD3-47A1-B525-E782471B06Cf} - C:\WINDOWS\system32\hhhihiee.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinFlyer32.dll] "rundll32.exe" C:\WINDOWS\system32\WinFlyer32.dll,Run
O4 - HKLM\..\Run: [yowcooymk] c:\windows\system32\yowcooymk.exe yowcooymk
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\fputkpnm.dll",realset
O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O20 - Winlogon Notify: ddcywxx - C:\WINDOWS\SYSTEM32\ddcywxx.dll
O20 - Winlogon Notify: vtstt - C:\WINDOWS\system32\vtstt.dll

Clique sur Fix Checked.

5. Toujours en mode sans échec :

• Double-clique VundoFix.exe afin de le lancer.
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Post le rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Poste les rapports de Navilog, AVG AS, Vundofix et un nouveau rapport Hijackthis, en pièces jointes.

Bonne soirée
Cyrrus

[invite148d3cdc]

Bonsoir,

Donc, résultats des courses en PJ... j'espère que tout ira bien !

seul petit souci s'est manifesté lors du scan du hiJackthis en mode ss échec, je n'ai pas trouvé ttes les lignes indiquées, je n'ai pu fixer q celles en "O4- HKLM..", soit 4 lignes.

merciiiiiiiiii de votre aide !

oups.. je ne peux pas joindre de pj.. que se passe t'il ?? le bouton "parcourir" ne déclenche rien ..

[JPL]

oups.. je ne peux pas joindre de pj.. que se passe t'il ?? le bouton "parcourir" ne déclenche rien ..

Généralement ce genre de petite misère se résout en relançant le navigateur. Si toutefois tu n'y arrives pas, envoie-les moi en message privé, je les rajouterai à ton dernier message (n'oublie pas de me redonner le lien vers ce message : j'en vois tellement par jour que je ne peux pas me souvenir de tout).

[A voir en vidéo sur Futura]

[invite148d3cdc]

alors alors, est-ce que ce soir ça va marcher...

pour info, AVG me signale maintenant la présence d'un certain " Virtumonde" au démarrage de windows.

merci
Séverine

[Cyrrus]

Bonsoir sevem,

Es tu sur qu'il ne s'agissait pas plutot de Vundofix ?

1. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Double clique sur Navilog1.bat.
Choisis maintenant l'option 2 puis valide.
Laisse toi guider et réponds aux questions éventuelles.

Réponds aux questions éventuelles.
Ton bureau va disparaître, c'est normal !

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver en mode normal.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

NOTES :

• Le rapport se trouve également ici : %root%\cleannavi.txt
• Si ton Bureau ne réapparaît pas, fais ceci :
  -> Clique simultanément sur Ctrl + Alt + Suppr.
  Clique sur l'onglet Fichier puis choisis Nouvelle tâche.
  Tape Explorer puis valide.
  -> Choisis Exécuter..., tape Explorer puis valide.

2. Repasse VundoFix.

3.

Télécharge SREng (par Smallfrogs) de ce lien:
http://www.kztechs.com/eng/download.html

Extrais tout son contenu sur ton Bureau
Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double clique sur SREng.exe afin de lancer l'outil
Clique sur Smart Scan
Ensuite, clique sur le bouton [Scan]

Lorsque complété, clique sur le bouton [Save Reports]
Sauvegarde le rapport sur ton Bureau
Poste le fichierSREnglLOG.log dans ta prochaine réponse.

Poste moi les rapports de navilog, VundoFix et SREng.

Bonne soirée
Cyrrus

[invite148d3cdc]

merci pour ta réponse, voila les rpports demandés.

[Cyrrus]

Bonjour sevem,

Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

NoteNe pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Poste le rapport en pièces jointes.

Bon WE
Cyrrus

[invite148d3cdc]

Mercu Cyrrus pr ta rapidité

voici mes rapports

[Cyrrus]

Re,

Peux tu repasser à nouveau VundoFix. Cela te parait un peu bizarre je le consois, mais cette bestiole est très collante et necessite plusieurs passage de l'outil parfois.

Poste le rapport en pièces jointes.

Bonne soirée
Cyrrus

[invite148d3cdc]

Bonjour Cyrrus,

J'ai passé le vundofix, qui ne m'a rien trouvé...

donc je n'ai aucun log à te fournir.

sevem

[Cyrrus]

Bonjour sevem,

Ok. Ou en sont les symptômes ?

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\system32\WinFlyer32.dll
  C:\WINDOWS\system32\bqryswer.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

Bon Dimanche
Cyrrus

[invite148d3cdc]

Re,

Le "moveit" n'a pas l'air d'avoir fonctionné...
les 2 dll en questions son introuvables
et il ne m'a pas crée de log,

tu trouveras une copie d'écran en pcs jointe.

merciiiiiiiiiiii

[invite148d3cdc]

Re,

poule symptômes, ça va bcp mieux !! je n'ai plus de pubiciel pornos ou de rencontres intempestifs, ms j'entends tjrs mon DD qui tourne à fond la caisse alors qu'aucune opération n'est en cours...


Le "moveit" n'a pas l'air d'avoir fonctionné...
les 2 dll en questions son introuvables
et il ne m'a pas crée de log,

tu trouveras une copie d'écran en pcs jointe.

merciiiiiiiiiiii

[Cyrrus]

Bonsoir sevem,

Ok pour OTMoveit, honnetement je ne sais pas ce qui l'a bloqué.

1. Reposte moi un nouveau rapport Diaghelp option 1.

2.

b]Télécharge[/b] sur ton bureau : http://www.malekal.com/download/clean.zip

1. Fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, choisis extrait tout ou extraire ici
2. Cela va créer un dossier clean.
3. Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
4. Double-clique sur clean. Cela va ouvrir une fenêtre noire.
5. Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.

Clean va travailler.
Un rapport va etre généré, poste ce rapport dans ta prochaine réponse.

3.

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

4.

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi les rapports de Diaghelp, Clean, et Kaspersky en pièces jointes.

Bonne soirée
Cyrrus

[invite148d3cdc]

hello,
je vais faire les opérations 2 - 3 - 4 ms Diaghelp, c koi ? c navilog option 1?
car g bien un .zip diaghelp, ms je ne sais pas quel .exe lancer , et j'ai pas retrouvé trace de notre conversation de l'avoir utilisé...

merci de ta réponse

[Cyrrus]

Bonsoir sevem,

Voilà un peu d'aide => http://www.futura-sciences.com/index...ash=ad8dc9a4fb

Bonne soirée
Cyrrus

[invite148d3cdc]

merci, qu'est-ce que je ferai ss toi

voici les 3 rapports, avec en prime une nvelle capture d'écran ... une petite fenêtre RUNDLL qui cherche, au démarrage, une dll désormais introuvable... j'ai com l'impression que ce n'est pas une mauvaise nvelle !!

[Cyrrus]

Bonjour sevem,

Poste moi un nouveau rapport avec Combofix et un nouveau rapport avec Hijackthis.

En plus de cela : Lance HijackThis -> "Open the Misc tool section" -> coche les deux cases "list..." puis clique sur "Generate Startup list". Un rapport conséquent va s'ouvrir, poste-le en pièces jointes.

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\System32\ttstv.ini 
  C:\WINDOWS\System32\ofjwrofv.ini
  C:\WINDOWS\System32\ttstv.bak2
  C:\WINDOWS\System32\ttstv.bak1

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse



Poste moi donc : le nouveau rapport Hijackthis, la Startup List d'Hijackthis, et le nouveau rapport Combofix.

Bonne soirée
Cyrrus

[invite148d3cdc]

Bonjour Cyrrus,

voic les 3 nvx rapports du jour, qu'est-ce que ça donne ?

merci encore

[invite148d3cdc]

oups g oublié le dernier rapport HiJackthis

[Cyrrus]

Re,

On termine :

1. Redemarre en mode sans échec.

2. Lance Hijackthis et coche les lignes suivantes :

O2 - BHO: (no name) - {119474D7-6715-4A29-AC7B-869974E70007} - C:\WINDOWS\system32\vtstt.dll (file missing)
O2 - BHO: (no name) - {F1E693A3-6CD3-47A1-B525-E782471B06Cf} - C:\WINDOWS\system32\kbmdmapm.d ll
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\oqikxsbl. dll",realset

Clique sur Fix Checked.

3. Relance OTMoveit et supprime ce fichier avec :

Code:

C:\WINDOWS\system32\oqikxsbl.dll

Poste moi les rapports de OTMoveit ainsi qu'un nouveau rapport Hijackthis (pour Hijackthis, renomme Hijackthis.exe en scan.exe avant de faire le rapport avec).

Bonne soirée
Cyrrus

[JPL]

Je reprend tardivement parce que j viens d'être confronté comparagle : les boutons ne répondaient pas en cliquant dessus.
Il faut vider le cache de l'ordinateur.