LA TOTALE en malware

[invite47810f95]

Bonjour a tous,

Depuis deux jours, j'ai des fenetres qui s'ouvrent sans arret m'entrainant sur les sites Winantivirus, DriveCleaner et SystemDoctor, ca devient loud a la fin.
De plus, Avast me bloque regulierement un numeroteur provenant du site gameglobin.

J'ajouterai que mon PC rame terriblement depuis 2 jours au demarrage et que deux fois sur trois, il m'affiche un bureau vide, je suis alors oblige de faire Ctrl+Alt+Supp et de creer la tache explorer

Que faire, je vous en supplie c'est terriblement lourd




PS: J'ai aussi Ravmonlog avec AdobeR (mais a la rigueur celui la, si je le supprime pas, ca m'est egal)

POUR INFOS: je possede AVAST 4.7 mis a jour et AVG Anti Spyware lui aussi mis a jour
-----

[JPL]

Sans RkU

Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 4 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.

[invite47810f95]

Desole de ne pas avoir fais les quelques procedures, voici donc en pieces jointes les 2 rapports

[JPL]

Il ne reste plus qu'à attendre qu'un membre du groupe antimalwares soit disponible. Courage.

[A voir en vidéo sur Futura]

[invite47810f95]

Pour vous situez l'un de mes problemes, voici un imprime ecran de ce qui m'arrive facilement touts les demi heure quand je suis connecte sur internet

[invite275db609]

Bonjour

Tu es effectivement infecté ...

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
• Clique sur le bouton Scan for Vundo
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
• Poste le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse, en pièce jointe.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

• Télécharge clean de Malekal_Morte, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
  
• Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître.
• Choisis l'option 1 et appuie sur Entrée pour valider.
• Copie/colle moi le rapport qui apparait dans ta prochaine réponse.

Poste moi le rapport vundofix, celui de Clean option 1 et un nouveau rapport hijackthis stp ...

Bonne fin de journée

[invite47810f95]

Ben voila les rapports, en esperant que ca va vous aider
Merci

[invite47810f95]

Il semblerait que je ne tombe plus sur les sites tels que vinantivirus, systemdoctor, drivecleaner et autres, mais je dis bien il semblerait

Cependant, toujours le message venant dusite gameglobin come indique sur l'image jointe precedemment et le fameux RavmonLog des disques amovibles

[invite275db609]

Bonjour jkidd

Bon travail, c'est deja beaucoup mieux.

Tu n'as pas de Firewall !!!
Le parefeu windows ne bloque QUE LES ENTREES, il ne bloque aucune sortie, ce qui fait que lorsque l'on est infecté, toutes les infos récupérées par les éditeurs de malwares peuvent sortir en douce sans que tu ne les apercoives, ce qui n'est pas le cas des parefeux suivants, qui bloque les entrées ET les sorties.

Tu DOIS ABSOLUMENT installer un FIREWALL, en voila 4, gratuits et performants :
Zone alarm, parefeu gratuit et performant :

• Téléchargement de ZoneAlarm : http://www.zonelabs.com/store/conten...&ctry=&lang=fr
• Tutorial de configuration : http://speedweb1.free.fr/frames2.php?page=tuto1

Kerio Personnal Firewall très bon et gratuit aussi :

• Téléchargement de Kerio : http://telechargement.zebulon.fr/license-1-82.html
• Tutorial de configuration : http://www.vulgarisation-informatique.com/kerio.php

Jetico, que je n'ai pas testé mais dont j'ai eu de très bons échos :

• Téléchargement de Jetico : http://www.jetico.com/download.htm
• Tutorial de configuration : http://www.malekal.com/tutorial_JeticoFirewall.php

Outpost

• Téléchargement d'Outpost : http://www.agnitum.com/products/outp...e/download.php
• Tutorial de configuration : http://c.rosu.free.fr/Conf_outpost.htm

Passons à la suite :

• Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître.
• Choisis l'option 2 et appuie sur Entrée pour valider.
• Copie/colle moi le rapport qui apparait dans ta prochaine réponse.

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {1C50D790-7AF7-4EA7-BF65-FB3B1F34EEEB} - C:\WINDOWS\system32\sstqq.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A1F5BF91-2BAE-400E-B5CC-C96427AB099E} - C:\WINDOWS\system32\tuvspml.dl l (file missing)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O20 - Winlogon Notify: tuvspml - tuvspml.dll (file missing)
O20 - Winlogon Notify: windct32 - C:\WINDOWS\SYSTEM32\windct32.d ll

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

• Télécharge OTMoveIt de OldTimer.
• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

Code:

C:\WINDOWS\SYSTEM32\windct32.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le bouton rouge Moveit!.
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles, en pièce jointe, celui de clean option2, celui de Kaspersky ainsi qu'un nouveau rapport hijackthis.

Une derniere chose, un petit mot sur boonty :

Un mot sur le service de Boonty Games.
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe de Boonty Games.

Il ne s'agit pas d'une infection. Conformément aux conditions générales d'utilisation définies que tu peux trouver sur leur site et que tu as acceptée lors du téléchargement d'un jeu (cf ici par exemple pour une traduction google et la visualisation de la page originale) le service Boonty, à l'image de la BoontyBox, collecte des informations te concernant (configuration, téléchargements effectués, toutes informations strictement personnelles que tu aurais fournies de toi même par un formulaire d'enregistrement ou d'inscription à un jeu concours, etc, à des fins d'amélioration du service strictement dit, et se réserve le droit de fournir à des tiers (références de jeu, âge, genre, endroit géographique, éducation, métier, matériel informatique et en ligne et intérêts de jeu vidéo, activités et achats, mais pas nom ou information de contact) comme les producteurs de jeu pour leur recherche de marché.

Je te conseille donc de le supprimer (avec mon aide si tu le souhaites), mais sache qu'il réapparaitra après chaque téléchargement de ces petits jeux que tu effectueras.
Merci Gof pour le canned

Bonne journée

[invite47810f95]

Ca en fait du travail, enfin pour info, je viens d'installer Outpost, le seul qui me laisse aller sur le net et clair, parce que zonealarm n'est pas du tout clair et je n'arrivais pas a telecharger Kerio en gratuit

Des que j'aurais fait toutes les demarches, je posterais le rapports

A bientot

[invite47810f95]

Voici les rapports comme demandés, en esperant que la solution s'en degagera

Merci

[invite275db609]

Reu

Tu as généré le rapport hijackthis avant de faire les manipulations avec OTmoveIT ... as-tu bien coché les cases indiquées et cliqué sur Fix checked ?
Peux-tu me reposter un rapport hijackthis stp.

[invite47810f95]

J'ai tout fais comme ce que tu m'a demander donc oui pour tout.
Voici un nouveau rapport

PS: Je pense que les premieres demarches que tu m'as demande m'ont permis de ne plus avoir d'ouverture brutale de sites non desirés comme winantivirus, drivecleaner et systemdoctor, merci !!

NB: Toujours glameglobin qui veut installer un truc et AdobeR en partenariat avec RavMonLog

[invite275db609]

Super boulot, parfait

Tu ne m'as pas répondu à propos de Boonty ... qu'est-ce qu'on fait ? On le laisse ? ou on le vire ?

Fais deja ceci :

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

Désinsalle/supprime tout ce que je t'ai fait téléchargé (sauf bien sur le firewall), tu peux aussi garder ATF-Cleaner.

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Types
Ton infection était Vundo/virtumonde.

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne fin de journée

[invite47810f95]

Je crois l'avoir enlever, sinon ben enlevons le


Et sinon pour mon GAMEGLOVIN, on peut rien faire ?

[invite275db609]

Bonsoir

• Télécharge puis installe AVG Anti-Spyware (AVG AS) :
• Une fois AVG AS lancé, clique sur "Mise à jour"
• Ferme le programme.

Redémarre en mode sans échec

• Relance AVG AS puis choisis l'onglet "Analyse"
• Puis l'onglet "Paramètres"
• Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
• Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
  Si un fichier est infecté détécté en fin d'analyse
• Clique sur "Appliquer toutes les actions"
• Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
• Enregistre ce fichier texte sur ton bureau.

Redémarre normalement.

Poste le rapport en pièces jointes.

Bonne soirée

[invite47810f95]

J'ai deja ce soft d'installer, j'ai fait deja fait une analyse (aucun spyware de trouver) mais pas en mode sans echec, j'essayerais donc ce soir.


En tout cas, merci de prendre du temps pour mon cas

[invite47810f95]

Et voici le rapport:

[invite275db609]

Bonjour

Pour moi, ta machine est toute propre, l'alerte d'avast ne t'indique pas un infection, mais a priori, une tentative d'intrusion ...
Supprime le dossier OTmoveIT.

Bonne journée

[invite47810f95]

Pour l'instant, je n'ai plus d'alertes non plus de la part d'avast, on vera d'ici 2-3 jours

[invite275db609]

Impeccable, ca fait plaisir ... pense bien à lire le dossier de prévention/sécurisation et de porter plainte sur MWC.

Bonne journée