malware w32.Sinnaka.A@mm

[invite37614cd6]

Bonsoir, lorsque j'ai voulu me connecté à internet il y a 3 jours, mon PC m'a affiché, après avoir refusé l'affichage de ma page d"accueil, qu'il était infecté par le ver W32 Sinnaka.A@mm. J'ai d'abord réalisé une recherche et un nettoyage à l'aide de smitfraudfix, j'ai ensuite fait un scan avec Ewido en mode sans echec et j'ai enfin utilisé Hijackthis. Suite à cela, toutsemble fonctionner normalement, mais je ne sais pas si je suis réellement débarassé de ce ver. Je joins les différents rapport que je ne sais pas déchiffrer. Puis je savoir ainsi si mon PC a bien été nettoyé?
-----

[invite37614cd6]

Je n'ai pas pu joindre le log de Hijackthis à mon dernier message.

[yoda1234]

Bonsoir et bienvenue sur FSG,
J'ai créé ton propre thread, en effet ce sera plus clair pour tout le monde.
Pour le log HJT, renomme le en .txt.

[invite37614cd6]

Merci Yoda1234. Voici le log renommé.

[A voir en vidéo sur Futura]

[igor51]

Bonsoir Mic54,

ton log montre encore des signes d'infections:

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

Télécharge Brute Force Uninstaller (de Merijn).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

Sous Scriptline to execute copie/colle cette ligne :

c:\bfu\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Ensuite refait un scan avec ewido(en mode sans échec) en l'ayant mis à jour, puis reposte un log hijakcthis(en mode normal) et poste aussi le log d'ewido en pièce jointe.

Bonne soirée,

Igor

[invite37614cd6]

Merci Igor, J'appliquerai la procédure que tu m'as décrites demain. Pour l'instant mes yeux se ferment, je vais me coucher. Bonne nuit

[igor51]

Bonjour,

pas de problème...seulement j'èspère que Cyrrus ou autre passera par la, je risque de ne pas pouvoir te rpéondre avant demain.

Bonne journée,

Igor

[Cyrrus]

Bonjour tout le monde,

pas de problème...seulement j'èspère que Cyrrus ou autre passera par la, je risque de ne pas pouvoir te rpéondre avant demain.

Pas de problème, je suis là aujourd'hui, par contre demain je serai absent de la journée. Marrant que Ewido trouve du egd et pas hijackthis, même pas une chtite ligne !

On verra bien au vu des prochain logs !

Bonne journée tout le monde !
Cyrrus

[invite37614cd6]

Bonsoir tous le monde!

J'ai appliqué la procédure dictée par igor. BFU, Ewido HijackThis. J'espère que les logs sont révélateurs car j'ai toujours quelques problèmes de fonctionnement.
Suis je oui ou non encore infecté? W32sinnaka ou autres??

Merci d'avance pour votre aide!

[igor51]

Bonsoir,
bon les pièces jointes ne sont pas validées donc je te donnerai une procédure demain matin
Tu es encore infecté, la procédure donnée ci dessus concernait un malware un peu coriace, c'est pour ça que j'ai préféré m'en occuper en premier sans me préocuper des autres, mais ne t'inquiète pas, si la procédure du dessus à fonctionner alors on pourra s'occuper du reste sans aucun problème.

Tu as d'autres infections.

Par contre parle moi de tes problèmes...dis moi ce qui ne va pas.

Voilà bonne soirée,

Igor

[igor51]

Bonjour,

voici la procédure, s'il y a quelque chose que tu ne comprends pas n'hésite pas à demander.
Est-ce que tu connais ce programme: Yoono Companion
Si non quand tu sera en mode sasn échec désinstalle le et supprime le dossier suivant:
C:\Program Files\Yoono Companion

1/
téléchargement des logiciels:
ATF Cleaner par Atribune.

jv16-powertool

Installe ces deux logiciels , on s'en servira plus tard

2/
Démarre en mode sans échec: tapote F8 ou F5 et choisir mode sans échec (sasn prise en charge du réseau)

3/
OUvre hijackthis, " do a scan only" et coche les lignes suivantes:

R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Default_Search_U RL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKCU\Software\Microsoft\Intern et Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\HP_Propriétaire\Appli cation Data\sgrunt\IE4321.exe
O15 - Trusted Zone: *.3
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: www.superspots.biz
O15 - Trusted Zone: www.xbeta69.com
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB


ferme toutes les fenetres sauf hijakcthis, puis clique sur "fix cheked"

4/
Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

5/
Recherche les fichiers /dossier suivants et supprime les:

C:\Documents and Settings\HP_Propriétaire\Appli cation Data\sgrunt\IE4321.exe<< le dossier
C:\WINDOWS\system32\oopmagentts.exe<< le fichier
C:\WINDOWS\ALCXMNTR.EXE<< le fichier


(ici désinstalle le programme cité plus haut si tu ne le connais pas)

6/

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

7/
-Télécharger jv16:
http://telechargement.zebulon.fr/201...owertools.html

-pour plus de détails=>son tutorial:
http://www.zebulon.fr/articles/base-de-registre-3.php

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

8/
Redémarre en mode normal, fais un log hijackthis que tu postera en pièce jointe.

Dis moi aussi si tu as encore des dysfonctionnements.

Bonne journée,

Igor

[invite37614cd6]

Bonsoir tout le monde!

Igor J'ai suivi tes indications, mais j'ai cependant rencontré quelques problèmes.
D'abord,jen'aipastrouvé IE4321.exe dans"C:\Documents and
Settings\HP_Propriétaire\Appli cationData\sgrunt\
IE4321.exe".
Ensuite, je n'ai pas réussi àsupprimeroopmagentts.exe
.
Enfin, dans ATF-Cleaner, je n'ai pas pu utilliser le navigateur Operaqui n'était pas en surbrillance.
D'autres parts, des fichiers et dossier sont apparus:
-sur le bureau>Thumbs.db
-Dans mes Documents>Thumbs.db, desktop.ini
-Dans Hijackthis>Dossier "backup"
et peut-être d'autres encore, je n'ai pas recherché ailleurs.
A part ça, tout semble fonctionner normalement.

J'attend ta réponse, merci.

[invite37614cd6]

Bonsoir tout le monde!

Igor J'ai suivi tes indications, mais j'ai cependant rencontré quelques problèmes.
D'abord,jen'aipastrouvé IE4321.exe dans"C:\Documents and
Settings\HP_Propriétaire\Appli cationData\sgrunt\
IE4321.exe".
Ensuite, je n'ai pas réussi àsupprimeroopmagentts.exe
.
Enfin, dans ATF-Cleaner, je n'ai pas pu utilliser le navigateur Operaqui n'était pas en surbrillance.
D'autres parts, des fichiers et dossier sont apparus:
-sur le bureau>Thumbs.db
-Dans mes Documents>Thumbs.db, desktop.ini
-Dans Hijackthis>Dossier "backup"
et peut-être d'autres encore, je n'ai pas recherché ailleurs.
A part ça, tout semble fonctionner normalement.

J'attend ta réponse, merci.

En informatique il y a les bons et les mauvais. Paradoxalement, ce sont les bons qui usent leur énergie à défaire le travail des mauvais.

[yoda1234]

Enfin, dans ATF-Cleaner, je n'ai pas pu utilliser le navigateur Operaqui n'était pas en surbrillance.

Bonjour
si je peux me permettre, est ce que tu utilise Opéra comme navigateur? Si tu ne l'as pas sur ton pc, il est normal qu'il apparaisse en grisé!

[Cyrrus]

Bonjour Mic, Igor, yoda, à tous,

je n'ai pas réussi àsupprimer oopmagentts.exe

Ok, on va donc essayer une autre méthode :

1/ Télécharge Pocket Killbox de Option^Explicit.


2/ Redémarre en mode sans échec et lance Killbox.exe

3/ Copie le chemin ci dessous (clic droit et Copier) :

C:\WINDOWS\system32\oopmagentt s.exe

(attention pas d'espace dans le chemin, cela est independant de ma volonté)

Assure toi que le mode "Standart File Kill" est coché, puis clique sur le rond rouge avec la croix blanche (Delete File).

4/ Ferme Killbox et lance hijackthis, toujours en mode sans échec

5/ Coche la ligne ci dessous, puis ferme toutes les fenêtres, exceptés hijackthis, et clique sur Fix Checked :

O4 - HKLM\..\Run: [ooquickpdfv7] "C:\WINDOWS\system32\oopmagent ts.exe"

(attention pas d'espace dans le chemin, cela est independant de ma volonté)

6/ Redémarre normalement et poste un nouveau log hijackthis.

D'autres parts, des fichiers et dossier sont apparus

C'est normal, cela est due à la manip 4/ d'Igor, qui t'a fait affichier les fichiers/dossiers cachés de Windows. C'est fichiers ne sont pas montrés à l'utilisateur pour des raisons de sécurité (certaines choses ne sont pas à effacer par mégarde). Malheuresement, certaines bestioles en profite pour se cacher par ce biais là, d'ou la manip d'Igor.

Pour les recacher, il suffit de faire l'inverse de la manip d'Igor :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Décocher la case : Afficher les fichiers et dossiers cachés
3. Cocher la case : Masquer les extensions des fichiers dont le type est connu
4. Cocher la case : Masquer les fichiers protégés du système d'exploitation
---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

Bonne journée
Cyrrus

[invite37614cd6]

Bonsoir à tous.
Aujourd'hui je suis overbooké et je n'ai pas le temps d'appliquer ta manip' Cyrrus. Je m'occuperai de ça dès demain. Merci et bonsoir à tous.

[invite37614cd6]

Bonjour à tous.

Avant d'appliquer la dernière manip, j'ai ouvert ma boite de réception (Outlook Express 6). Sur 11 mails reçus, 10 émanaient d'emetteurs pour la plupart portant des noms et prénoms étrangers. Celà fait 3 jours que ça dure et ces mails sont pour le moins bizarre. Je les ai tous supprimé.

J'ai ensuite appliqué la manip de Cyrrus. Le log est en pièce jointe.
Quels sont les conclusions?

A +, Mic

[Cyrrus]

Bonjour Mic,

Le log hijackthis est propre. La ligne infectieuse a disparu, on peut penser que c'est la même chose pour le processus.

Ou en sont les symptômes, mis à part ce spam qui à mon sens n'est pas lié à cette infection ?

Je te ferai fixer quelques auters lignes superflu ce soir, et te posterai les conseils pour te proteger.

Bonne journée
Cyrrus

[invite37614cd6]

Merci Cyrrus.

Concernant les Spams, je suis équipé de Norton internet sécurity 2006 qui possède un antispam. Ce logiciel est il efficace? Au vu des messages indésirables que je reçois, j'ai des doutes. Ou bien est-il tout simplement mal configuré?
En attendant , je suis à l'affût de la moindre anomalie.

A ce soir. Mic

[Cyrrus]

Bonsoir Mic,

Connais tu ce programme : Boonty Games

Si non alors fais ceci :

Demarrer>Executer et tape services.msc [valide par ok]
Dans la liste cherche : Boonty Games
Clic droit dessus et "Propriétés"
Clique sur Arreter et sélectionne "Désactivé" dans "Type de démarrage".
Redémarre ton pc et supprime le dossier suivant :
C:\Program Files\Fichiers communs\BOONTY Shared<-- le dossier

Je te poste le lien vers le dossier de prévention juste après.

Bonne soirée
Cyrrus

[Cyrrus]

Re,

Le dossier de prévention de Futura se trouve ici

Pour ton problème de spam, je ne pense pas que le logiciel de Norton soit très efficace. Ce genre de messages m'arrive aussi, et il parte directement à la poubelle grâce à Thunderbird (client de messagerie).

Si tu as des questions je suis là bien evidemment

Bonne soirée
Cyrrus

[invite37614cd6]

Bonsoir Cyrrus,

Je télécharge actuellement Thunderbird. dois je désactiver l'anti spam de Norton avant d'activer thunderbird?
Je te remercie pour le lien vers le dossier de prévention de Futura qui est très intéressant.
Je me suis mis à l'informatique il y a un an seulement et j'ai encore énormément à apprendre. Je suis à l' écoute de tous conseils ou toutes informations.

Bonne soirée
Mic

[Cyrrus]

Bonsoir Mic,

Je ne pense pas que l'antispam de Norton soit nécessaire. Neanmoins si tu veux tu peux le laisser, il n'y a pas de risque ^^

Je te donnerai les conseils demain piour que Thunderbird envoie à la poubelle ce qu'il juge d'indésirable.

Bonne soirée/nuit
Cyrrus

[invite37614cd6]

Bonne nuit et à demain pour l'utilisation de Thunderbird.