Répondre à la discussion
Affichage des résultats 1 à 23 sur 23

Malware non identifié (??)



  1. #1
    sevem68

    Red face Malware non identifié (??)


    ------

    Bonjour,

    J'ai scrupuleusement suivi la procédure dont vous trouverez les rapports ci-joint.
    Malgré plusieurs outils antivirus, firewall et antispyware, je constate depuis plusieurs semaines des comportements inhabituels de mon pc :
    - 10mn (au moins) pr booter
    - il met >10 sec pour ouvrir un doc ou une page web
    - feneêtre publicitaires ( poker, porno...) dès la 1è ouverture du navigateur
    - le plus embêtant : un cheval de troie ( détecté par mon antivirus ) "drivecleaner" ( ou équivalent ) qui tente sans cesse de me persuader d'installer un outil de scan.

    voila voila, merci d'avance de votre aide.

    -----
    Fichiers attachés Fichiers attachés

  2. Publicité
  3. #2
    Cyrrus

    Re : Malware non identifié (??)

    Bonsoir sevem,

    J'ai scrupuleusement suivi la procédure dont vous trouverez les rapports ci-joint.
    Un peu trop même, la partie antirootkit était optionelle (comme marqué dans le sommaire, ainsi que dans le titre de la partie elle même).

    Tu a une sacré infection.

    1.
    Avant de commencer, lis la licence de Blacklight (F-Secure)
    En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

    Télécharge maintenant Navilog1.zip (Il Mafioso)
    Enregistre-le sur ton Bureau.
    Dézippe le contenu de l'archive en faisant un Clique droit sur Navilog1.zip puis en choisissant Tout Extraire.

    Double clique sur Navilog1.bat.
    Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
    /!\ N'utilise pas l'option 2,3 et 4 sans notre accord /!\
    Patiente jusqu'à l'apparition de ce message :
    "*** Analyse Termine le ..... ***"
    Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous le rapport en pièce jointe
    2. Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

    3. Télécharge AVG Anti-Spyware
    1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
    2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
    3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    1. Du mode Sans Échec, lance AVG Anti-Spyware,
    2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
    3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
    4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
    5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

    4. Toujours en mode sans échec :

    Lance Hijackthis, clique sur Do a system scan only, et coche les lignes suivantes :

    Code:
    O2 - BHO: (no name) - {C5E02D55-E7B6-4AD1-8140-D418D409A047} - C:\WINDOWS\system32\ddcywxx.dll
    O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\lvfqbaig.dll
    O2 - BHO: (no name) - {F1E693A3-6CD3-47A1-B525-E782471B06Cf} - C:\WINDOWS\system32\hhhihiee.dll
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [WinFlyer32.dll] "rundll32.exe" C:\WINDOWS\system32\WinFlyer32.dll,Run
    O4 - HKLM\..\Run: [yowcooymk] c:\windows\system32\yowcooymk.exe yowcooymk
    O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\fputkpnm.dll",realset
    O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
    O20 - Winlogon Notify: ddcywxx - C:\WINDOWS\SYSTEM32\ddcywxx.dll
    O20 - Winlogon Notify: vtstt - C:\WINDOWS\system32\vtstt.dll

    Clique sur Fix Checked.

    5. Toujours en mode sans échec :
    • Double-clique VundoFix.exe afin de le lancer.
    • Clique sur le bouton Scan for Vundo.
    • Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    • Une invite te demandera si tu veux supprimer les fichiers, clique YES
    • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    • Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
    • Démarre ton PC à nouveau.
    • Post le rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

    Poste les rapports de Navilog, AVG AS, Vundofix et un nouveau rapport Hijackthis, en pièces jointes.

    Bonne soirée
    Cyrrus

  4. #3
    sevem68

    Re : Malware non identifié (??)

    Bonsoir,

    Donc, résultats des courses en PJ... j'espère que tout ira bien !

    seul petit souci s'est manifesté lors du scan du hiJackthis en mode ss échec, je n'ai pas trouvé ttes les lignes indiquées, je n'ai pu fixer q celles en "O4- HKLM..", soit 4 lignes.

    merciiiiiiiiii de votre aide !

    oups.. je ne peux pas joindre de pj.. que se passe t'il ?? le bouton "parcourir" ne déclenche rien ..

  5. #4
    JPL
    Responsable des forums

    Re : Malware non identifié (??)

    Citation Envoyé par sevem68 Voir le message
    oups.. je ne peux pas joindre de pj.. que se passe t'il ?? le bouton "parcourir" ne déclenche rien ..
    Généralement ce genre de petite misère se résout en relançant le navigateur. Si toutefois tu n'y arrives pas, envoie-les moi en message privé, je les rajouterai à ton dernier message (n'oublie pas de me redonner le lien vers ce message : j'en vois tellement par jour que je ne peux pas me souvenir de tout).
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  6. A voir en vidéo sur Futura
  7. #5
    sevem68

    Re : Malware non identifié (??)

    alors alors, est-ce que ce soir ça va marcher...

    pour info, AVG me signale maintenant la présence d'un certain " Virtumonde" au démarrage de windows.

    merci
    Séverine
    Fichiers attachés Fichiers attachés

  8. #6
    Cyrrus

    Re : Malware non identifié (??)

    Bonsoir sevem,

    Es tu sur qu'il ne s'agissait pas plutot de Vundofix ?

    1. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.

    Double clique sur Navilog1.bat.
    Choisis maintenant l'option 2 puis valide.
    Laisse toi guider et réponds aux questions éventuelles.

    Réponds aux questions éventuelles.
    Ton bureau va disparaître, c'est normal !

    Patiente jusqu'à l'apparition de ce message :
    "*** Nettoyage Termine le ..... ***"

    Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver en mode normal.
    Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

    NOTES :
    • Le rapport se trouve également ici : %root%\cleannavi.txt
    • Si ton Bureau ne réapparaît pas, fais ceci :
      -> Clique simultanément sur Ctrl + Alt + Suppr.
      Clique sur l'onglet Fichier puis choisis Nouvelle tâche.
      Tape Explorer puis valide.
      -> Choisis Exécuter..., tape Explorer puis valide.

    2. Repasse VundoFix.

    3.
    Télécharge SREng (par Smallfrogs) de ce lien:
    http://www.kztechs.com/eng/download.html

    Extrais tout son contenu sur ton Bureau
    Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double clique sur SREng.exe afin de lancer l'outil
    Clique sur Smart Scan
    Ensuite, clique sur le bouton [Scan]

    Lorsque complété, clique sur le bouton [Save Reports]
    Sauvegarde le rapport sur ton Bureau
    Poste le fichierSREnglLOG.log dans ta prochaine réponse.
    Poste moi les rapports de navilog, VundoFix et SREng.

    Bonne soirée
    Cyrrus

  9. Publicité
  10. #7
    sevem68

    Re : Malware non identifié (??)

    merci pour ta réponse, voila les rpports demandés.
    Fichiers attachés Fichiers attachés

  11. #8
    Cyrrus

    Re : Malware non identifié (??)

    Bonjour sevem,

    Télécharge ce fichier - combofix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!
    Double clique sur Combofix.exe et suis les instructions.
    Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

    NoteNe pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

    Poste le rapport en pièces jointes.

    Bon WE
    Cyrrus

  12. #9
    sevem68

    Re : Malware non identifié (??)

    Mercu Cyrrus pr ta rapidité

    voici mes rapports
    Fichiers attachés Fichiers attachés

  13. #10
    Cyrrus

    Re : Malware non identifié (??)

    Re,

    Peux tu repasser à nouveau VundoFix. Cela te parait un peu bizarre je le consois, mais cette bestiole est très collante et necessite plusieurs passage de l'outil parfois.

    Poste le rapport en pièces jointes.

    Bonne soirée
    Cyrrus

  14. #11
    sevem68

    Re : Malware non identifié (??)

    Bonjour Cyrrus,

    J'ai passé le vundofix, qui ne m'a rien trouvé...

    donc je n'ai aucun log à te fournir.

    sevem

  15. #12
    Cyrrus

    Re : Malware non identifié (??)

    Bonjour sevem,

    Ok. Ou en sont les symptômes ?

    Télécharge OTMoveIt de OldTimer.
    • Sauvegarde le sur ton Bureau.
    • Double-Clique sur OTMoveIt.exe pour le lancer.
    • Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):

      Code:
      C:\WINDOWS\system32\WinFlyer32.dll
      C:\WINDOWS\system32\bqryswer.dll
    • Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
    • Clique sur le boutton rouge Moveit!.
    • Ferme OTMoveIt
    Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

    Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

    Bon Dimanche
    Cyrrus

  16. Publicité
  17. #13
    sevem68

    Re : Malware non identifié (??)

    Re,

    Le "moveit" n'a pas l'air d'avoir fonctionné...
    les 2 dll en questions son introuvables
    et il ne m'a pas crée de log,

    tu trouveras une copie d'écran en pcs jointe.

    merciiiiiiiiiiii
    Images attachées Images attachées

  18. #14
    sevem68

    Re : Malware non identifié (??)

    Re,

    poule symptômes, ça va bcp mieux !! je n'ai plus de pubiciel pornos ou de rencontres intempestifs, ms j'entends tjrs mon DD qui tourne à fond la caisse alors qu'aucune opération n'est en cours...


    Le "moveit" n'a pas l'air d'avoir fonctionné...
    les 2 dll en questions son introuvables
    et il ne m'a pas crée de log,

    tu trouveras une copie d'écran en pcs jointe.

    merciiiiiiiiiiii

  19. #15
    Cyrrus

    Re : Malware non identifié (??)

    Bonsoir sevem,

    Ok pour OTMoveit, honnetement je ne sais pas ce qui l'a bloqué.

    1. Reposte moi un nouveau rapport Diaghelp option 1.

    2.
    b]Télécharge[/b] sur ton bureau : http://www.malekal.com/download/clean.zip
    1. Fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, choisis extrait tout ou extraire ici
    2. Cela va créer un dossier clean.
    3. Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
    4. Double-clique sur clean. Cela va ouvrir une fenêtre noire.
    5. Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
    Clean va travailler.
    Un rapport va etre généré, poste ce rapport dans ta prochaine réponse.
    3.
    • Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
    • Coche la case "Désactiver le système de restauration..."
    • Décoche la case "Désactiver le système de restauration..."
    Et voila, un nouveau point de restauration qui est a priori propre
    4.
    • Fais un scan en ligne Kaspersky avec Internet Explorer :
    • Clique sur
    • Clique maintenant sur J'accepte.
    • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    • Patiente pendant l'installation des Mises à jour.
    • Choisis par la suite l'analyse du Poste de travail
    • Sauvegarde puis poste le rapport généré en fin d'analyse.
    AIDE : Configurer le contrôle des ActiveX
    Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

    Poste moi les rapports de Diaghelp, Clean, et Kaspersky en pièces jointes.

    Bonne soirée
    Cyrrus

  20. #16
    sevem68

    Re : Malware non identifié (??)

    hello,
    je vais faire les opérations 2 - 3 - 4 ms Diaghelp, c koi ? c navilog option 1?
    car g bien un .zip diaghelp, ms je ne sais pas quel .exe lancer , et j'ai pas retrouvé trace de notre conversation de l'avoir utilisé...

    merci de ta réponse

  21. #17
    Cyrrus

    Re : Malware non identifié (??)

    Bonsoir sevem,

    Voilà un peu d'aide => http://www.futura-sciences.com/index...ash=ad8dc9a4fb

    Bonne soirée
    Cyrrus

  22. #18
    sevem68

    Re : Malware non identifié (??)

    merci, qu'est-ce que je ferai ss toi

    voici les 3 rapports, avec en prime une nvelle capture d'écran ... une petite fenêtre RUNDLL qui cherche, au démarrage, une dll désormais introuvable... j'ai com l'impression que ce n'est pas une mauvaise nvelle !!
    Images attachées Images attachées
    Fichiers attachés Fichiers attachés

  23. Publicité
  24. #19
    Cyrrus

    Re : Malware non identifié (??)

    Bonjour sevem,

    Poste moi un nouveau rapport avec Combofix et un nouveau rapport avec Hijackthis.

    En plus de cela : Lance HijackThis -> "Open the Misc tool section" -> coche les deux cases "list..." puis clique sur "Generate Startup list". Un rapport conséquent va s'ouvrir, poste-le en pièces jointes.

    Télécharge OTMoveIt de OldTimer.
    • Sauvegarde le sur ton Bureau.
    • Double-Clique sur OTMoveIt.exe pour le lancer.
    • Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):

      Code:
      C:\WINDOWS\System32\ttstv.ini 
      C:\WINDOWS\System32\ofjwrofv.ini
      C:\WINDOWS\System32\ttstv.bak2
      C:\WINDOWS\System32\ttstv.bak1
    • Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
    • Clique sur le boutton rouge Moveit!.
    • Ferme OTMoveIt
    Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

    Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse



    Poste moi donc : le nouveau rapport Hijackthis, la Startup List d'Hijackthis, et le nouveau rapport Combofix.

    Bonne soirée
    Cyrrus

  25. #20
    sevem68

    Re : Malware non identifié (??)

    Bonjour Cyrrus,

    voic les 3 nvx rapports du jour, qu'est-ce que ça donne ?

    merci encore
    Fichiers attachés Fichiers attachés

  26. #21
    sevem68

    Re : Malware non identifié (??)

    oups g oublié le dernier rapport HiJackthis
    Fichiers attachés Fichiers attachés

  27. #22
    Cyrrus

    Re : Malware non identifié (??)

    Re,

    On termine :

    1. Redemarre en mode sans échec.

    2. Lance Hijackthis et coche les lignes suivantes :

    O2 - BHO: (no name) - {119474D7-6715-4A29-AC7B-869974E70007} - C:\WINDOWS\system32\vtstt.dll (file missing)
    O2 - BHO: (no name) - {F1E693A3-6CD3-47A1-B525-E782471B06Cf} - C:\WINDOWS\system32\kbmdmapm.d ll
    O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\oqikxsbl. dll",realset

    Clique sur Fix Checked.

    3. Relance OTMoveit et supprime ce fichier avec :

    Code:
    C:\WINDOWS\system32\oqikxsbl.dll
    Poste moi les rapports de OTMoveit ainsi qu'un nouveau rapport Hijackthis (pour Hijackthis, renomme Hijackthis.exe en scan.exe avant de faire le rapport avec).

    Bonne soirée
    Cyrrus

  28. #23
    JPL
    Responsable des forums

    Re : Malware non identifié (??)

    Je reprend tardivement parce que j viens d'être confronté comparagle : les boutons ne répondaient pas en cliquant dessus.
    Il faut vider le cache de l'ordinateur.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

Discussions similaires

  1. Batracien non identifié
    Par invite87654345678 dans le forum Identification des espèces animales ou végétales
    Réponses: 21
    Dernier message: 17/08/2007, 17h53
  2. virus non identifié !
    Par jou1212 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 36
    Dernier message: 04/08/2007, 18h30
  3. Virus non identifié
    Par kailea13 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 23
    Dernier message: 21/06/2007, 07h12
  4. objet non identifié
    Par soleil-75 dans le forum Archives
    Réponses: 21
    Dernier message: 22/09/2006, 22h01
  5. OVNI identifié...
    Par henry dans le forum Physique
    Réponses: 18
    Dernier message: 07/05/2004, 19h13
Découvrez nos comparatifs produits sur l'informatique et les technologies.