Ouverture de fenêtres intempestives via IE

[invite5546a17c]

Bonjour,

Je cherche à résoudre mon problème d'ouverture de fenêtre intempestives lorsque je navigue sur Internet avec Internet Explorer.

Un programme s'est certainement installé sur mon ordinateur à mon insu alors que je naviguais sur des sites de téléchargements.

Je pense avoir identifié le virus (malware) VirtuMonde, mais il doit y en avoir d'autres.

J'ai suivi par étape la procédure proposée par le site Futura-Sciences. Je vous transmets en pièces jointes les rapports de DiagHelp et HijackThis.

Pouvez-vous m'aider à éradiquer ce problème?

Merci de votre attention. Cordialement.
-----

[invite9bff601c]

Bonjour et Bienvenue sur Futura !

Voici ce que tu vas faire :

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Poste le rapport situé dans C:\vundofix.txt

---------------------------------------------------------------------------

Renomme Hijackthis en futura.exe, puis reposte un nouveau log Hijackthis.


Les deux rapports doivent être postés en pièce jointe.

Bonne journée,
Igor

[invite1469b964]

Bonjour,

J'ai le même problème que Igor51. Des fenêtres commençant souvent par un "~" s'ouvrent sans arrêt. J'ai lancé Vundofix, mais celui-ci n'a rien trouvé. Que peux-ton faire ?

[invite9bff601c]

Bonjour nams,


Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 4 du dossier.

Reviens ensuite, et crée un nouveau sujet pour poster les rapports générés par la procédure. Pense aussi à expliquer clairement les problèmes que tu rencontres.

Bonne journée,
Igor

[A voir en vidéo sur Futura]

[invite1469b964]

D'accord.

Merci

[invite5546a17c]

Bonjour Igor,

Merci d'accorder un peu d'attention à ma requête.

J'ai suivi vos indications, vous trouverez en pièces jointes les rapports de Vundo et HijackThis.

Cordialement.

[invite9bff601c]

Re,

voici la suite de la procédure :

---------------------------------------------------------------------------

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\system32\gtyxrvia.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Double-clique ATF-Cleaner.exe afin de lancer le programme.

• Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Exécute Hijackthis, choisis Do a scan only et coche les lignes suivantes :

Code:

O2 - BHO: (no name) - {1F50B805-CB24-4289-8C71-0CC88E121BD2} - C:\WINDOWS\system32\mljgg.dll (file missing)
O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\system32\gtyxrvia.dll",realset

Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checked

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Redémarre en mode normal.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

---------------------------------------------------------------------------

Dans ta prochaine réponse, poste moi les rapports suivants :

-> le rapport de AVG-AS
-> le rapport de Kaspersky
-> Un nouveau log Hijackthis

Si tu as des questions, n'hésite pas.

Bonne journée,
Igor

[invite5546a17c]

Bonjour Igor,

Voici en pièces jointes les différents rapports demandés après avoir suivi les étapes décrites : OTMoveIt, AVG, HijackThis et Kaspersky.

Merci pour ton aide. Cordialement.

PS : la rapport Kaspersky te sera peut-être difficile à étudier. En effet, le rapport enregistré par Kaspersky était en .HTML, format invalide pour le transmettre en pièce jointe via le forum de Futura-Sciences. J'ai donc changé l'extension en .txt afin de pouvoir le joindre au message.

[invite9bff601c]

Bonsoir,

Voici la suite des opérations :

• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\SYSTEM32\cvrgdthv.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

--------------------------------------------------------------------------

Reviens pour me dire où en sont les problèmes et pour que l'on conclut la désinfection.

Bonne soirée

[invite5546a17c]

Bonjour Igor,

En pièce jointe je te transmets le rapport OTMoveIt demandé suite à tes indications.

J'ai fait plusieurs tests d'ouverture de pages web et il semblerait que la situation soit re-devenue normale. Je ne peux que t'en remercier!

Je t'avouerais que j'aimerais bien connaitre la manière dont tu procèdes pour repérer les fichiers malicieux (dans HijackThis et pour OTMoveIt). Ceci afin d'éviter de relancer une requête pour dépannage que ce soit vers toi ou un de tes collègues, pour des problèmes qui semblent assez récurrents (d'après plusieurs sujets que j'ai pu lire sur le forum).

Cependant, puis-je quand même revenir vers toi si le problème d'ouverture de fenêtres intempestives recommençait?

Encore une fois je te dis un grand merci pour ton aide et ta patience. Je reste à ta disposition pour tous conseils ou autres indications que tu souhaiterais partagés.

Cordialement.

[invite9bff601c]

Bonsoir,

On conclut la désinfection

-----------------------------------------------------------------------------

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

---------------------------------------------------------------------------

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autre infection
Nom de l'infection : Magic.Control

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide
---------------------------------------------------------------------------

Tu peux supprimer les différents outils téléchargés.

---------------------------------------------------------------------------

Je peux te conseiller quelque lien si tu veux apprendre, cela donne les bases mais je dois t'avertir que Hijackthis est un outil très dangereux et que par conséquent il faut le manipuler avec précaution.

http://www.zebulon.fr/dossiers/56-an...ijackthis.html


Si tu as des questions, surtout n'hésite pas.

Bonne soirée,
Igor

[invite9bff601c]

Re,

fais aussi ceci :

Ta console Java n'est pas à jour. Les plus vieilles versions ont des vulnérabilités que les malwares peuvent utiliser pour infecter ton système. Suis cette procédure pour supprimer les composants des vieilles versions de Java et faire les mises à jour nécessaire.

Mise à jour de Java:

• Télécharge la dernière version : Java Runtime Environment (JRE) 6.
• Descends la page pour voir "The J2SE Runtime Environment (JRE) allows end-users to run Java applications".
• Clique sur le bouton "Download" sur la droite.
• Coche la case: "Accept License Agreement".
• La page sera rafraichie.
• Clique sur le lien pour télécharger Windows Offline Installation avec ou sans le Multi-langage et sauvegarde le sur ton Bureau.
• Ferme tous les programmes qui tournent, surtout ton navigateur web.
• Clique sur Démarrer > Panneau de configuration double-clique sur Ajout/Suppression de programme et supprime toutes les vieilles versions de Java.
• Cherche tous les items avec Java Runtime Environment (JRE or J2SE) dans leur nom.
• Clique sur Supprimer ou Modifier/Supprimer.
• Répète autant de fois que nécessaire cette opération pour supprimer tous les composants Java .
• Redémarre ton ordinateur une fois que la désinstallation de tous les composants est effectuée.
• Ainsi depuis ton Bureau, double-clique sur jre-1_5_0_09-windowsi586-p.exe pour installer la nouvelle version.

Bonne soirée

[invite5546a17c]

Bonjour Igor,

J'ai suivi tes dernières indications concernant la désactivation puis l'activation de la restauration système, ainsi que l'installation d'un Java Runtime Environment récent.

- Me confirmes-tu que je peux supprimer AVG (j'ai également Ad-Aware 6d'installé), HijackThis et Kaspersky Online Scanner définitivement de mon ordinateur?

- Autre question : je n'ai toujours pas effectué de défragmentation de mon disque dur. Me conseilles-tu de le faire?

Je tiens une fois de plus à te remercier pour toutes tes informations, notamment celles concernant l'utilisation de HijackThis, ainsi que pour ton aide au dépannage.

Je tâcherais également de me renseigner et de m'inscrire sur ce site de dépôts de plaintes contre les développeurs de malwares.

Je reste à disposition pour toutes informations que tu souhaiterais partager.

Cordialement.

[invite5546a17c]

PS : j'ai également Windows Defender installé sur mon ordinateur.
Penses-tu que je peux le supprimer ou est-il assez utile pour que je puisse le conserver?

[invite9bff601c]

Bonjour,

Me confirmes-tu que je peux supprimer AVG (j'ai également Ad-Aware 6d'installé), HijackThis et Kaspersky Online Scanner définitivement de mon ordinateur?

Oui tout à fait, pense juste à les supprimer par Ajout/Suppression de programme pour une désinstallation propre.

Autre question : je n'ai toujours pas effectué de défragmentation de mon disque dur. Me conseilles-tu de le faire?

Oui je te conseille de defragmenter ton disque et ceci régulièrement pour de meilleures performances de ton système.

Penses-tu que je peux le supprimer ou est-il assez utile pour que je puisse le conserver?

Je pense que tu peux garder deux anti-malwares, Ad-Aware 6 et Windows Defender vont se compléter. Pense à les mettre à jour régulièrement et de scanner ton système avec.

Bonne journée

[invite5546a17c]

Bonjour Igor,

Grand merci pour tes réponses.

Je te souhaite bonne continuation.

Cordialement.