J'ai besoin d'un coup de pouce...

[invite9e667fbf]

Bonjour!

J'ai toujours bien protégé mon ordinateur des intrus malveillants et autres bestioles néfastes. Je me suis absenté pour des vacances durant une semaine et à mon retour, j'ai constaté que ma petite soeur est venue télécharger un jeu de "billards" sur mon PC durant mon absence. Depuis ce temps, j'observe d'énomes ralentissements, j'ai beaucoup de pop-ups publicitaires dérangeants qui apparaissent lorsque je navigue sur internet explorer (rien sur firefox). Même lorsque je navigue dans des dossiers tels que "mes documents", j'ai droit à de jolis pop-ups érotiques. Bref, je suis infecté par un spyware.

Lorsque j'accède au gestionnaire des tâches (le fameux ctrl-alt-delete), j'appercois un exécutable intrus : iexplore.exe. Je sais qu'il est intru car il est actif même lorsque je prend soin de fermer internet explorer.

J'ai suivi les consignes de Cyrrus et je vous poste donc les deux rapports.

J'utilise l'antivirus NOD32, il détecte plusieurs petits virus (spywares) mais n'arrive pas à les supprimer (je suppose que c'est une stratégie du petit virus). J'ai aussi utilisé AD-AWARE, CCLEAN, etc.

Rien à faire, la bestiole persiste.

Voici donc les 2 rapports. J'espère que vous pourrez m'aider!

Merci de votre temps,

- Gilbert Godasse
-----

[JPL]

Je me suis absenté pour des vacances durant une semaine et à mon retour, j'ai constaté que ma petite soeur est venue télécharger un jeu de "billards" sur mon PC durant mon absence.
........
j'ai droit à de jolis pop-ups érotiques. Bref, je suis infecté par un spyware.

Méfie-toi de ta petite soeur !

[invite9e667fbf]

Haha elle n'est pas très dangeureuse ;p
Elle avait aussi téléchargé Emule, ce qui explique bien des choses.

Y a quelqu'un qui voudrait analyser mes rapports pour me faire un petit diagnostique et me prescrire un remède?

Merci!

[invitebf5cd8b2]

Bonjour Gilbert,

Ton rapport est bien infecté en effet. Je ne peux pas analyser maintenant, j'essairai ce soir si Igor n'est pas passé avant.

Bonne soirée
Cyrrus

[A voir en vidéo sur Futura]

[invite9e667fbf]

Parfait, c'est très apprécié, merci beaucoup!

Aussi, j'aimerais apprendre à pouvoir analyser ce genre de rapports. Si quelqu'un veut bien me donner un petit "tutorial", je dirais pas non

Habituellement je me débrouille bien pour régler les bugs, mais quans il s'agit d'infection de spyware et que la seule solution est d'analyser un rapport d'highjackthis, je me sens impuissant. J'aimerais pouvoir le régler moi même. Donc si quelqu'un a du temps à me consacrer, je peux vous donner mon adresse courriel, simplement me contacter en privé!

Merci de l'aide!

[invitebf5cd8b2]

Re Gilbert,

Bonne initiative que de vouloir apprendre à analyser. Je t'envoie un mp d'ici ce soir avec de la doc "de base". Neanmoins n'essaye pas d'analyser ton rapport tout seul pour cette fois, tu risquerais de faire une boulette plus ou moins grave.

Cyrrus

[invite9e667fbf]

Oui parfait!
J'attends donc votre mp!

Quand vous serez prêt à analyser mes documents, j'aimerais aussi que vous m'expliquez pourquoi certains trucs laissent montrer que je suis infecté.

[JPL]

Cyrrus, si tu as en effet une doc de base, je suis également intéressé.

[invitebf5cd8b2]

Bonsoir Gilbert,

Bon tu as un joli doublet de bestioles, dont Vundo et Lop. On va d'abord s'attaquer à Lop, puis à Vundo. Lop a été installé avec le sponsor de Messenger plus (juste pour info au passage ).

1/ Fais Demarrer>Panneau de configuration et va dans Ajout/Suppression de programmes. Dans la liste, cherche MSN messenger Plus et fais un clique dessus. Clique ensuite sur Supprimer et choisis l'option "Désinstaller le sponsor uniquement" (ou Désinstaller msn+ si tu n'as que faire de cette cochonnerie ).

2/ Télécharge le programme suivant (clic droit dessus et "Enregistrer la cible sous") :
http://66.220.17.157/new_uninstall.exe

Execute le programme et redémarre le PC (normallement pour cette fois).

3/ Lance hijackthis et coche les lignes suivantes (si elles existent) :

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"<<-- si tu veut te débarrasser completement de msnPlus!
O4 - HKLM\..\Run: [move ooze] C:\PROGRA~1\Rule Frag Warn\4 log.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart<-- même chose

Ferme toutes les fenêtres, exceptés hijackthis, et clique sur Fix Checked

4/ Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
• Coche Run VundoFix as a task.
• Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

5/ Supprime les dossiers suivant s'il existe :

C:\Program Files\Rule Frag Warn<-- le dossier
C:\Documents and Settings\Benoit Gosselin\Mes documents\Mes fichiers reçus<<-- tout le contenu du dossier

6/ Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
• Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

• Clique sur l'icône Erreurs situé dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scanne ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.
• Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

7/ Poste le rapport de VundoFix ainsi qu'un nouveau rapport hijackthis.

Bonne soirée
Cyrrus

PS : Cela ne me dérange pas de t'expliquer comment j'analyse, mais ce qui voient cela pourrait tirer de pseudo règle générale pour analyser ce qui leurs feraient risquer de gros problème que je ne pourrais pas forcément résoudre. Je t'incluerais cela dans mon mp (ca vient ca vient )
edit : Aucun problème JPL, je t'envoie cela à toi aussi....mais là vais manger

[inviteb88e7c48]

Cyrrus, si tu as en effet une doc de base, je suis également intéressé.

Moi aussi Cyrrus si tu veux bien

Merci

[invitebf5cd8b2]

Bonsoir vercasand,

LOL tout le monde s'y met, je sais pas ce qui vous motive mais bon...soit

Je t'envoie cela aussi vercasand, mais je tient à prévenir tout le monde :

Cette article ne permet pas de se lancer ensuite dans l'analyse en live de son pc ou pire du pc de quelqu'un d'autre, aussi ne jouez pas au apprenti sorcier par pitié

Bonne soirée
Cyrrus
PS : A l'avenir, demandez moi par mp, ici c'est le sujet de Gilbert...merci

[invite9e667fbf]

C'est grave si je désire conserver msnplus ?

Aussi, dans mon dossier "mes fichiers recus", j'ai un paquet de trucs importants et utiles que je ne veux pas supprimer. C'est primordial que je supprime le dossier au complet?

Si c'est vital pour la guérison complète de mon PC, je veux bien le faire, mais si c'est pas absolument nécessaire, j'aimerais mieux pas!

[invite9bff601c]

Bonsoir,

Il faut absolument désinstaller les sponsors car c'est qui sont à l'origine de Lop.
Je n'ai pas regardé ton log, je ne sais pas s'il est important de supprimer tout ce dossier, néanmoins je ne crois pas que la désinstallation de msn+ entraine la suppression du dossier.

Bonne soirée,

Igor

[invite9e667fbf]

Bon! J'ai fait tout ce qui a été demandé (sauf la désinstallation de MSNplus!...je me suis résigné à supprimer les fichiers recus dans "mes fichiers recus").

Voici donc, en pièces jointes, les 2 rapports demandés.

Est-ce que je suis guéri docteur?

[invite9bff601c]

Bonsoir,

je en comprends pas: pourquoi n'as tu pas désinstaller msn plus si tu as supprimé ton dossier?

De plus, tu pourra le réinstaller après mais en refusant d'installer les sponsors qui sont à l'origine de Lop.

Bonne soirée,

Igor

[invite9e667fbf]

Non, ce que j'ai supprimé c'est le dossier "mes fichiers recus". Cyrrus m'a demandé, dans son message, de supprimer ce dossier ainsi que les fichiers de Msnplus!.

C'est deux choses distinctes

[invitebf5cd8b2]

Bonsoir Gilbert, Igor,

Arf non excuse moi je croyais qu'il n'y aurait que du mauvais, je te fait donc supprimer les fichiers en questions, et non la totale :

C:\Documents and Settings\Benoit Gosselin\Mes documents\Mes fichiers reçus\Messenger Plus! - Setup.exe/sponsor.exe
C:\Documents and Settings\Benoit Gosselin\Mes documents\Mes fichiers reçus\MsgPlus-254.exe/70000011.exe

J'attend que les rapports soit validés par un modérateur et je les regarde.

Bonne soirée
Cyrrus

[invite9e667fbf]

Je ne trouve pas ces deux fichiers, comment dois-je m'y prendre pour les supprimer?

[invitebf5cd8b2]

Bonsoir Gilbert ,

VundoFix a bien bossé, et le log hijackthis est propre.

As tu encore des dysfonctionnements ?

Supprime le new_uninstall.exe je te prie.

Refais un scan complet avec hijackthis mais en mode sans echec cette fois ci (aide : ici)

Poste le rapport en pièces jointes...

Bonne soirée
Cyrrus

[invite9e667fbf]

Non tout semle bien fonctionner!

Seul petit hic : je recois depuis quelques semaines des courriels bizarres dans ma boîte de réception outlook (c'est pas de la pub ni rien, mais une série de symboles). En voici un exemple :

william@perlite.biz :

C4zNDL/2wBDAQkJCQwLDBgNDRgyIRwhMjIyMj IyMjIyMj
IyMjIyMjIyMjIyMjIyMjIyMjIyMjIy MjIyMjIyMjIyMjIyMjIyMjL
/wAARCAD2AbsDASIAAhEBAxEB/8QAHwAAAQUBAQEBAQE
AAAAAAAAAAAECAwQFBgcICQoL/8QAtRAAAgEDAwIEA


Et c'est toujours des emails qui proviennent de gens de @perlite.biz ou autre chose .biz. Parfois ce sont des emails blancs.

Est-ce que ça a un lien avec un spyware ou bien c'est tout simplement que mon courriel est enregistré dans un serveur? Je peux corriger ça?

[invitebf5cd8b2]

Bonsoir Gilbert,

Non cela n'a pas de rapport direct avec tes ex-bestioles. Des robots ont certainement chopé ton adresse, cela m'arive aussi.

Je te conseille Thunderbird comme client de messagerie, car il permet de supprimer ces messages (chez moi je lui demande de les mettre direct à la corbeille).

Bonen soirée/nuit
Cyrrus

[invite9e667fbf]

Bon, voilà le tout dernier rapport de HJT fait en mode sans échec.

Espérons que tout est propre maintenant.
J'attends le diagnostique final!

[invitebf5cd8b2]

Bonjour Gilbert,

Mille excuse, je voulais parler d'Ewido

Peux tu s'il te plait faire un scan complet avec Ewido et poster le rapport en pièces jointes

Merci et encore une fois désolé

Bonne journée
Cyrrus