Adware empeche la connexion

[invite7dedd8fd]

Bonjour à tous

Mon portable est infecté par adware, toute les icônes sont trompés, il ne peut plus afficher la page de web, alors que le modeme contacte bien. le problème que mon travail de trois ans en danger. Je compte sur vous


-----

[invite275db609]

Bonsoir laftah,

pourrais-tu suivre pas a pas la procédure de pré-nettoyage de Futura : http://forums.futura-sciences.com/thread69698.html

N'oublies pas 2 choses importantes, renommes le rapport hijackthis.log en hijackthis.txt et surtout postes tes rapports en pieces jointes ...

Bonne soirée ...

[invite7dedd8fd]

merci de votre réponse rapide, le problème qu'il n'y a pas de connexion sur le portable à cause du virus, je vous contacte par l'ordinateur fixe.

[invitebf5cd8b2]

Bonsoir laftah, synthexe,

Sans outils nous ne pouvons quasiment rien faire, car dans ce cas nous sommes complètement aveugle...

N'y a t-il pas moyen de transferer du pc fixe au pc portable (clé usb, disque dur externe, disquette, cd...) ?

Ce serai bien au moins d'avoir une disquette ou un CD, on pourrait y mettre hijackthis et voir de quoi il retourne..

Bonne soirée
Cyrrus

[A voir en vidéo sur Futura]

[invite7dedd8fd]

ok, je le fais, merci bien

[invite7dedd8fd]

Bonsoirée

Voici les rapports dans les dossiers attachés.

Je vous remercie de votre attention

[invite275db609]

Salut laftah,

bien dormi ?
Tu es bien infecté, mais ne t'inquietes pas, j'ai préparé une procédure, mais je te la posterai lorsque j'aurais confirmation par un 'collegue', dès que c'est confirmer, je te la post ...

@ tout bientot

[invite275db609]

Pour commencer, ton systeme n'est pas a jour, il faudra absolument le mettre a jour quand nous serons débarassé de tes infections (Look2Me, Vundo)
Lis bien la procédure, comme ca tu pourras aller télécharger les fix avant de la lancer sur le Pc portable, je vais d'ailleurs mettre les liens tout de suite ...
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

• Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
• Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.
• Télécharge Brute Force Uninstaller (de Merijn).
  Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
  FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger alcanshorty.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU :
  alcanshorty.bfu et BFU.exe (très important).

Etape 1 :
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.
Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
• Coche Run this program as a task
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
• Lorsque le scan termine, clique sur le bouton Remove L2M
• Un message Done Scanning apparaîtra, clique OK.
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
• Ton PC va maintenant s'éteindre.
• Démarre ton PC normalement.
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

Etape 2 :
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
• Coche Run VundoFix as a task.
• Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Etape 3 :
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
alcanshorty.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Etape 4 :
Démarrer > Exécuter et taper Services.msc puis OK
Choisir le mode "Etendu" (onglets inférieurs)
Grâce à la barre de défilement (à droite) rechercher le service suivant:

asn_workshop
Network Monitor

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
puis dérouler le Type de Démarrage pour le modifier en Désactivé
Cliquer sur Appliquer puis OK

Lancer Hijackthis, choisir Open the Misc.Tools section
la fenêtre "Configuration va s'ouvrir
cliquer sur (b]Delete a NT service...[/b]
la fenêtre "Delete a Windows NT service" va s'ouvrir
Entrer dans la zone de dialogue :

asn_workshop
Network Monitor

Note : assurez-vous de ne mettre d'espace, ni avant, ni après !
cliquer sur OK

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.
Cliquer sur NO

Etape 5 :
Redémarre en mode sans echec

Attention, vous aurez au préalable imprimer ou copier toutes ces instructions dans un fichier texte, au redémarrage en mode sans echec, vous n'aurez plus acces a internet.

• Redémarrez votre ordinateur.
• Apres le rapide écran du BIOS, tapez plusieurs fois sur la touche F8.
• Vous accédez a un menu a choix multiples, choisissez Mode sans échec

Etape 6 :
Relances Hijackthis :
Do a system scan only, coches les cases suivantes (si présentes, car certaines entrées ne devraient plus etre la) :
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\System32\vturp.dll
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard17.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad17.exe
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\r6r6lg9s16 .dll
O20 - Winlogon Notify: vturp - C:\WINDOWS\SYSTEM32\vturp.dll
O23 - Service: asn_workshop - Unknown owner - C:\WINDOWS\asn_workshop
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

Fermes toutes les fenetres et cliques sur Fix checked

Etape 7 :
Assures-toi d'avoir acces a tous les fichiers et dossiers :

• Ouvrez votre poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Activez la case : "Afficher les fichiers et dossiers cachés"
• Désactivez la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactivez la case : "Masquer les fichiers protégés du système d'exploitation"
• Cliquez sur "Appliquer".
  Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

Etape 8 :
Enlever les fichiers malicieux :
Trouves et effaces les fichiers ou dossiers suivant (en gras) (si présent, car certains fichiers ne devraient plus apparaitre):
C:\WINDOWS\System32\vturp.dll <-- le fichier
C:\WINDOWS\system32\r6r6lg9s16.dll <-- le fichier
C:\WINDOWS\SYSTEM32\vturp.dll <-- le fichier
C:\WINDOWS\asn_workshop <-- le dossier complet
C:\Program Files\Network Monitor\netmon.exe <-- le dossier complet
C:\mousepad17.exe <-- le fichier
C:\windows\keyboard17.exe <-- le fichier
C:\\mousepad17.exe <-- le fichier

Etape 9 : Redémarres en mode normal
Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows,
  
  plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
• Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

• Clique sur l'icône Erreurs situé dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scanne ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.
• Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

Etape 10 : Relances un scan Ewido ainsi qu'un scan hijackthis en mode normal et postes moi les rapports ainsi que vundofix.txt et Look2Me-Destroyer.txt

Qu'en est-il de tes dysfonctionnements ? le Pc tourne-t-il mieux ?

[invite7dedd8fd]

Bonjour,

le problème, à cause du virus, le portable infecté ne peut plus contacter à l'internet, mantenaint je vous écris par un autre ordinateur. comment alors je peux le mettre à jour, excuse moi pour les fautes, je ne suis pas francophone.

[invite7dedd8fd]

Aussi, qu'est ce que vous voulais dire par (par Atribune)?

[invite9bff601c]

Bonjour,

tout d'abord : "(par Taribune)" est tout simplement le créateur du fix, on le nomme pour lui rendre hommage.

Ensuite, n'y a-t'il pas un moyen pour prendre les logiciels conseillés par synthexe et pour les passer sur le pc infecté?? en les gravant ou sur une disquette(je ne crois pas que ces log soient bien lourd).

Sinon il faudra faire autrement.....

Bonne journée,

Igor

[yoda1234]

Aussi, qu'est ce que vous voulais dire par (par Atribune)?

Bonjour
atribune est le site qui met cet outil a disposition.

edit: croisement avec igor51

[invitebf5cd8b2]

Bonjour laftah, synthexe, igor, yoda

Ok, on va donc tenter autrement...

Laftah : lorsque tu redemares en mode sans échec, n'y a t-il pas un mode proposé se nommant "mode sans échec avec prise en charge réseau" ou quelque chose comme cela.
Si oui essayes de démarrer comme cela en choississant ce mode. En principe tu devrait avoir accès à internet. Si cela marche préviens nous, et ne commence pas directement la procédure de synthexe.

Bonne journée
Cyrrus

atribune est le site qui met cet outil a disposition.

Nana, Atribune est une personne bien réel. C'est son site que tu pointes

[invite7dedd8fd]

merci à tous

j'ai fais le "mode sans échec avec prise en charge réseau" mais l'internet n'a pas pu répondre, je vais commencer le téléchargement des programmes sur l'ordinateur fix et les ré installe sur l'ordinateur portable par un CD.

[invite7dedd8fd]

mais le plus important, d'après vous, selon les rapports que je vous ai déjà envoyé, est ce que mes documents sont infectés, j'ai des travaux de trois très importants sur l'ordinateur.

[invitebf5cd8b2]

Bonjour lafath,

Tes documents ne craignent rien niveau infection. Tu peux les graver sur un CD pour les mettre à l'abri, ils ne seront pas contaminé.

Bon courage
Cyrrus

[invite275db609]

Bonjour a tous,

mais vous etiez tous en congé aujourd'hui ou quoi ??!! ...

Je rentre juste du taf et je m'apercois d'une petite erreur dans ma procédure :

Etape 3 :
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
alcanshorty.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique sur Exit pour fermer le programme BFU.

Au début de cette étape, il faut absolument Démarrer en mode sans Echec
Si tu as deja passé cette étape, reprends-la en mode sans echec stp ...

Merci a Igor, Cyrrus et yoda d'avoir pris la releve le temps du taf ...

Bonne fin de journée a tous ...

[invite7dedd8fd]

Bonjour,
merci de votre retour, je suis justement dans cette étape, le problème quand je prend les dossier sur le CD pour l'installé sur le portable, le dossier BFU.exe apparît en forme winzip ?

que je dois faire

[invite275db609]

Bonsoir laftah,

Tu dois faire ce qui est décrit dans la procédure, soit :

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

Pour décompresser le fichier, tu dois faire un click-droit sur celui-ci puis Extraire les fichiers et la, il faut choisir de le dézipper dans le dossier créer, c'est a dire c:\BFU (les termes peuvent varier suivant le 'dézippeur' utilisé)

Remarques bien que :

Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU :
alcanshorty.bfu et BFU.exe (très important).

Si tu as d'autres questions, n'hésites pas ...

@ tout bientot

[invite7dedd8fd]

Bonsoir,

j'ai fais la démarche. en fait l'image de l'écran est mieux maintenant, mais le problème reste le même, le démarrage de windows très lente, ainsi un missage dit: avast ! will not be able to protect incoming mail (POP3 protocol). Error: 10022.
voici les rapports dans le dossier attachés, mais sans mise à jour car il n' y a pas de connexion sur le portable.

merci beaucoup, et je compte pour vous

[invite275db609]

Bonsoir laftah,

VundoFix et Look2meDestroyer ont bien travaillé, et toi aussi apparemment ...
Félicitations, ton log hijackthis m'a l'air propre !
Pour ton probleme de connexion, tu te connecte par un reseau local en passant par ton fixe ou directement connecté a la ligne teléphonique ?

On va un peu optimiser ton ordinateur, s'il est lent c'est en partie du au fait que beaucoup de programmes tournent pour rien :

• Redémarre en mode sans echec
• Lances Hijackthis
• Clique sur Do a Sytem Scan Only
• Coches les lignes suivantes :
  

  O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
  O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
  O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
  O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
  O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
  O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\driv ers\w32x86\3\hpztsb05.exe
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
  O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
  O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
  O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
  O14 - IERESET.INF: START_PAGE_URL=http://welcome.hp.com/country/fr/fre/welcome.html
  O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
  O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
  O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1138555173171
  O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

• Fermes toutes les autres fenetres puis cliques sur Fix Checked

Tu peux aussi désactiver la protection en temps réel de Ewido (qui ne fonctionne que 14 jours)

• Lances Ewido
• Cliques sur Désactiver la protection en temps réel

• Télécharges Spybot ici, cliques sur download now
• Télécharges les dernieres mises a jour ici (tu n'auras qu'a double cliquer sur le fichier pour faire les mises a jour automatiquement)

Installes Spybot et les dernieres mises a jour.

• Lance Spybot. Sur la page d'accueil, clique sur Vérifier tout
• Patiente le temps du scan. Lorsque le scan est fini, clique sur Corriger les problèmes pour éliminer les espions.
• Sauvegarde le résultat du scan comme ceci =>
  

  - Clique sur la liste de malwares trouvés avec le bouton droit de ta souris
  - Dans le menu, choisis : "Sauver tout le rapport dans le fichier".
  - Une fenêtre s'ouvre, clique sur le bouton "Enregistrer".
  - Quitte le programme.

Voila, dis moi si le démarrage est un peu plus rapide et donnes moi une réponse a la question sur ta connexion.
Repostes moi un nouveau rapport hijackthis ainsi que le rapport de spybot.

Bon courage, mais je pense qu'on en voit le bout, pas pratique de pas avoir de connexion quand meme ...

Bonne nuitée

[invite7dedd8fd]

Bonjour

l'image de l'écran est mieux maintenant, mais très difficile pour démarrer windows, voici les rapports ci-joint

Je vous remercie à l'avance

[invite7dedd8fd]

merci bien synthexe, ne tient pas en compte le message le dernier message répité. j'apprend beaucoup de vous

je vais faire le nouveau démarche pour la connexion

Bonsoirée

[invite275db609]

Bonjour laftah,

pourrais-tu s'il te plait suivre le post précédent #21, j'aimerais bien que tu passe spybot mis a jour et que tu me répondes pour ta connexion ...
Si on est bien débarassé de toutes tes infections, je te donnerai quelques consignes de sécurité ...

Bonne journée, faut aller taffer :'(

[invite7dedd8fd]

Bonjour Synthexe,

j'ai commencé la démarche, mais que voulais vous dire par (Pour ton probleme de connexion, tu te connecte par un reseau local en passant par ton fixe ou directement connecté a la ligne teléphonique ?) en fait j'ai une connexion du numéricable à la maison, il n' y a pas de connexion avec le teléphone

[invite7dedd8fd]

Rebonjour Synthexe,
j'ai fais ce que tu m'a indiqué, et j'ai installé le Spybot sur l'ordinateur fix et je l'ai mis à jour, puis je l'ai installé sur le portable par un CD, mais il ne fonction pas il me demande le mettre à jour, je ne sais pas quoi faire ? encore pas de connection. j'ai l'impression qu'est l'avast joue un rôle dans ce problème.

en ce moment je fais de vérification du systhème

[invite275db609]

Bonjour laftah,

En fait, tu dois copier les 2 fichiers de spybot sur le portable

Télécharges Spybot ici, cliques sur download now
Télécharges les dernieres mises a jour ici (tu n'auras qu'a double cliquer sur le fichier pour faire les mises a jour automatiquement)

Une fois seulement ces 2 fichiers sur le portable, tu installes spybot normalement, et une fois cela fait, tu double click sur spybotsd_includes.exe, cela mettra spybot a jour tout seul ...

Ton fixe est actuellement connecté a internet, ce que je veux savoir c'est si lorsque tu connecte ton portable, est-ce que tu débranche le fixe du cable pour y mettre le portable a la place ?
Peut-etre devrais tu réinstaller ton Fournisseur d'Acces a Internet sur ton portable, l'installation est peut-etre corrompu ...
Rien ne laisse penser que ton antivirus peut bloquer ton acces a internet, cherche plutot du coté du firewall donc de Norton puisqu'a priori tu te sers de lui ...

J'attends de tes nouvelles ...

Bonne journée

[invite7dedd8fd]

Bonjour Synthexe,

en fait rien changé, seulement les images des icônes sur le bureau sont devenus claire, le démarrage windows est très lente. j'ai aussi désinstallé avast pour chercher d'autre antivirus. par contre est ce que le programme de Xcclear peut faire ces problème ? car je l'ai déjà utilisé pour nettoyer. en tous cas voici le nouvea rapport dans le dossier joint ( pour le rapport du Hijackthis. Ok, mais pour le rapport du Spybot, le premier je n'ai pas pu le poster, un message me dit (Votre fichier de 57,2 Ko octets dépasse la limite du forum de 48,8 Ko pour ce type de fichier) j'ai fait autre scan et correction, mais le rapport était cette fois vide, il m'a dit filicitations aucun infection.

merci bien de votre temps

[invite275db609]

Bonjour laftah,

ce n'est pas grave pour spybot, apparemment il a bien travaillé, on va chercher encore un peu :

• Ouvres HijackThis.
• Cliques sur Open Misc Tools Section
• Assures toi que les deux cases de droite sont bien cochées:
  * List all minor sections(Full)
  * List Empty Sections(Complete)
• Cliques sur Generate StartupList Log
• Cliques sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copies le et postes le ici.

par contre est ce que le programme de Xcclear peut faire ces problème ?

Je ne comprend pas ta question ... résoudre quel probleme ? CCleaner est un nettoyeur ...

Bonne journée ...

[invite7dedd8fd]

Bonjour Synthexe,

Je pense que c'est très difficile de réparer ce problème sur le site, de votre part, c'est claire, t'es spécialiste, mais, de ma part, je manque beaucoup même en français, touts mes travaux sont bloqués. excuse moi je vais envoyer mon ordinateur chez le téchnitien, ça fais cinq jour à la maison. juste une dernière question, si tu a des informations sur la meilleure protection pour mon ordinateur fix merci de bien vouloir m'indiquer.

merci, merci bien Synthexe.