Encore un pb de malware

[invite891ff733]

bonjour,

DEpuis environ deux semaine, je suis victime d'apparition de fenêtre non demandées lorsque je surf sur Internet (site de loterie, site d'achat, site d'antivirus). J'ai lancé les outil Ad-Aware, CCleaner, CleanUp!, mais cela ne règle pas le pb. Comme mes enfants utilisent cet ordi, je souhaite éradiquer cette saloperie avant d'être dirigé vers des site pornos ou autre saloperie du même genre.
Comme indiqué sur le site Futura-Sciences, pour nettoyer mon PC, j'ai suivi la procédure indiquée et lancer les différents outils conseillés :
ATF cleaner, DiagHelp, Hijackthis et Rootkit Unhooker.
Je vous adresse les deux rapports générés enespérant que vous pourrez m'aider.

Calou
-----

[igor51]

Bonjour et Bienvenu sur Futura !

Tu as oublié de poster le rapport de Diaghelp.

De plus, tu éxécutes Hijacthis à partir d'un répertoire temporaire, supprime le et fais ceci :

• Télécharger la dernière version d'HijackThis
• Installation et utilisation d'HijackThis:
• Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
• Arrêter tous les programmes en cours et fermer toutes les fenêtres
• Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
• NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.
• Sauvegarder le fichier crée sur le Bureau, puis poster le rapport en pièce jointe dans la prochaine réponse

Poste moi le deux rapports en pièce jointe.

Bonne journée,
Igor

[invite891ff733]

Bonjour, Igor,

Je suis un peu novice sur le sujet et j'ai un peu de mal avec tous ces outils de diagnostique.
J'ai suivi tes conseils et voici les résultats des deux procédures.
Pour le rapport de DiagHelp, j'ai du le découper en plusieurs morceaux.
Comme nous sommes limités en nombre de fichiers joint je t'adreese par la suite un deuxième message avec les fichiers complémentaires

J'espère qu'avec ces rapport tu pourra m'aider à éradiquer la saloperie qui s'exécute sur mon PC.
L'exécutable LJZDIUWHT.exe te dit quelque chose ?
Je suis un peu surpris du non du fichier !

Encore merci pour tes conseils.

Calou

[invite891ff733]

Et voici les fichiers complémentaires pour le rapport DiagHelp et le Hijackthis_report.

Calou

[A voir en vidéo sur Futura]

[igor51]

Bonsoir

Avant de commencer, lis la licence de Blacklight (F-Secure)
En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

Télécharge maintenant Navilog1.zip (Il Mafioso)
Enregistre-le sur ton Bureau.
Dézippe le contenu de l'archive en faisant un Clique droit sur Navilog1.zip puis en choisissant Tout Extraire.

Double clique sur Navilog1.bat.
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
/!\ N'utilise pas l'option 2,3 et 4 sans notre accord /!\
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous le rapport en pièce jointe

NOTE : Le rapport se trouve également ici : %root%\fixnavi.txt

Bonne soirée

[igor51]

[Pièce jointe modifiée]

( ne pas s'inquièter, il me faut juste 10 caractères )

[invite891ff733]

Bonsoir Igor et merci d'être encore là ce soir.

J'ai lancé l'utilitaire navilog comme demandé et voici le rapport joint.
Et l'on retrouve le fichier "LJZDIUWHT.exe" que j'ai indiqué dans mon message précédent qui avait été détecté par le firewall look n stop.
Par contre lorsque je cherche à le détruire, j'ai un pb car je ne le trouve pas avec l'explorateur dans le répertoir indiqué par le firewall. C'est dû à quoi ?

Calou.

[invite891ff733]

Désolé, c'est malheureusement trop souvent le cas, j'oublie de joindre le fichier. Le voila.

[igor51]

Bonjour,

je dirais que c'est normal que tu ne l'aies pas trouvé, le fichier est rootkitté.

Voici la suite:
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Double clique sur Navilog1.bat.
Choisis maintenant l'option 2 puis valide.
Laisse toi guider et réponds aux questions éventuelles.

Réponds aux questions éventuelles.
Ton bureau va disparaître, c'est normal !

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver en mode normal.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
Redémarre normalement puis poste le rapport sauvegardé auparavant.

NOTES :

• Le rapport se trouve également ici : %root%\cleannavi.txt
• Si ton Bureau ne réapparaît pas, fais ceci :
  -> Clique simultanément sur Ctrl + Alt + Suppr.
  Clique sur l'onglet Fichier puis choisis Nouvelle tâche.
  Tape Explorer puis valide.
  -> Choisis Exécuter..., tape Explorer puis valide.

Bonne journée

[invite891ff733]

Bonjour Igor,

J'ai bien suivi la procédure que tu m'as indiqué. Le rapport de navilog1 avec l'option 2 semble montré que le fichier inciminé avec les différentes extensions a bien été supprimé. Par contre, je n'ai pas eu disparition du bureau. Est ce inquiétant ?

Je t'adresse ci-joint le fichier rapport.

J'espère que tu pourra me confirmer dans ta réponse que maintenant mon ordinateur est complétement désinfecté.

Merci pour tes conseils et ton suivi attentif et efficace qui m'ont permis de supprimer cet intrus.

Calou.

[igor51]

Bonsoir,


La désinfection continue...Ce n'est pas inquiètant que ton Bureau n'est pas disparut

--------------------------------------------------------------------------
Télécharge ATF Cleaner par Atribune.

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

~~~~~~~~~~~~~~~~~~~~~~~~

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Dans ta prochaine réponse, poste moi les rapports suivants:

-> le rapport de Kaspersky
-> Un nouveau log Hijackthis


Bonne soirée

[invite891ff733]

Bonjour Igor,

Ca y est, j'ai réussi à executer l'appli de Kasperski : 30 mn de téléchargement (2 fois) puis 1h30 d'analyse. Ca a été un peu long, mais jespère que cela nous permettra de mieux nettoyer cet ordinateur.

Ci joint les deux rapports. celui de Kasperski est décomposé en plusieurs fichiers txt.

A plus Calou

[invite891ff733]

Et voila la suite.
Je suis désolé, le fichier est long mais peut être pas si compliqué à exploiter.

Encore un dernie message pour le rapport HijackThis

Calou

[invite891ff733]

Et voila le dernier rapport.

Dans ta réponse, peux tu m'indiquer si ces rapport nous donnent des infos sur les virus ou autres malwares hébergés ?

Calou

[JPL]

Si tu dois envoyer encore un rapport trop gros pour passer en un seul morceau, compresse-le en zip (par exemple avec 7-zip, gratuit : http://www.7-zip.org/ )

[Cyrrus]

Bonsoir calou, JPL, Igor,

Voilà les pièces jointes, regroupées et zippés (pour les rapports Kaspersky).

Enjoy

Bonne soirée
Cyrrus

[invite891ff733]

Merci à JPL pour le lien vers 7-zip que j'avais utilisé par le passé mais que j'ai supprimé lors de la dernière ré-installation de XP suite à un pb de conflit entre le drivers de la carte vidéo et XP.

C'est quand même nettement plus pratique pour s'échanger des fichiers un peu volumineux sur le forum.

Pour cet échange, tout va bien avec le coup de main de Cyrrus. Thank you very much.

Calou.

[igor51]

Bonjour,

As-tu encore des problèmes ?

---------------------------

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autre Infection
Nom de l'infection : Magic.Control

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

-----------------------------------

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

--------------------------------

Bonne journée