31 malwares détectés !

[Bruno]

J'était en train de faire un scan de routine avec Ewido et lorsqu'il m'a montré qu'il avait détecté 31 malwares j'ai décidé de suivre toute la procédure de FS.

Voici donc les fichiers joints:

Merci d'avance pour votre aide!


Merci de conformer a la charte de ce forum qui dit:

La courtoisie est de rigueur sur ce forum : pour une demande de renseignements bonjour et merci devraient être des automatismes.

Pour la modération,
yoda1234.
-----

[invite9bff601c]

BOnjour,

tu as deux antivirus norton et avats, il faut absolument un et un seul sinon il y a un risque de conflit.

De plus fait ce scanne :

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
- Clic en bas sur "I accept"
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
- poste fsbl-bxxxx.log dans ta prochaine réponse

Aide : Tu peux consulter le tutorial de F-Secure BlackLight

Bonne soirée,

Igor

[invite275db609]

Bonsoir Bruno

Peux-tu faire ceci stp :
Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre votre poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

• Analyse ce fichier icecastService.exe chez viustotal :
  http://www.virustotal.com/xhtml/virustotal_en.html
• Clique sur parcourir localise le fichier sur ton disque dur ( C:\Program Files\Icecast2 Win32\icecastService.exe ) et clique sur send
• Attend le rapport et colle le dans ta prochaine réponse

Tu as 2 antivirus apparemment (Avast et Norton), tu dois en désactiver un ...
Pas le temps d'approfondir tout de suite, mais a priori, tu es effectivement infecté.
Tu peux aussi faire ceci :

• Fais un scan en ligne avec Kaspersky WebScanner
• Sous "Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
• On va te demander de télécharger un contôle active x, accepte .
• Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
• Le scan va commencer. Poste le rapport qui sera généré stp.

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

J'espere qu'igor ou cyrrus auront le temps de passer demain, parce que moi je vais etre un peu juste ... ou alors, tard le soir ...

Bonne soirée

Edit : Grillé par igor

[invite9bff601c]

Rebonsoir,

fais ce qu'il ya dans nos deux messages (synthexe +me )

synthexe : coucou et oui y'a encore des avantages à être jeune !!!

Bonne soirée à tous les deux

Igor

[A voir en vidéo sur Futura]

[Bruno]

Salut Igor et synthexe

Voici les rapports que vous m'avez demandés:

Merci de votre aide

[invite9bff601c]

Bonjour Bruno,


tout d'abord supprime la quarantaine de norton ce qui se trouve dans le dossier !!
C:\Program Files\Norton AntiVirus\Quarantine

Supprime aussi ceci : C:\Documents and Settings\Titu\Mes documents\Mes fichiers reçus\CrackSearcher.zip/CrackSearcher.exe

As-tu supprimer un antivirus ?
POur supprimer correctement norton voici un lien http://ipl001.free.fr/IT/IT-Sys-antiSym.html

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Redémarre en mode sans échec et refais un scan avec Ewido.

Poste moi le nouveau rapport d'Ewido ainsi que le rapport de clean qui se situe dans c:\

Bonne journée,

Igor

[Bruno]

Salut!

J'ai bien suivit la procédure de désinstallation de Norton : nettoyage du registre,CCleaner,etc..

Voici le rapport effectué par Ewido (deux heures quand même! Et c'est de mieux eb miuex: de 31 on passe à 110 !

Merci pour ton aide

Amicalement,

bruno

[invite9bff601c]

Bonjour,

tu as oublié de me poster le rapport de clean.

Il ya essentiellement des cookies mais quand même quelque trucs à supprimer je repasserai plus tard pour te dire quoi faire.

Bonne journée,
Igor

[Bruno]

Ah deso j'avais oublié..

Le voici (noter que je l'ai exécuté deux fois, une fois en mode normal et l'autre en mode sans échec du coup j'ai perdu le premier rapport je me souviens juste qu'il a supprimé qq fichiers notamment un fichier dans C:/qqch.exe

Merci!

[invite9bff601c]

Bonsoir,

d'accord pour le rapport de clean, c'est pas grave tant qu'il a supprimé des choses.

reposte moi un log hijackthis car beaucoup de chose se sont passé depuis le premier.

Je te donnerai une procédure pour te débarrasser de tout cela.

Bonne soirée,

Igor

[Bruno]

Bonsoir,

Je viens de voir que mon antivirus Avast! a repéré (encore..) un virus (voir image jointe).

J'envoie aussi le rapport

Bonne soirée,
Bruno

[invite9bff601c]

Rebonsoir,

la procédure est à faire en entier, si tu rencontres un problème, n'hésite pas à me le dire, mais continue la procédure.

Je te conseille de conserver la forme de cette procédure en sauvegardant grâce à ton navigateur:

Si tu utilises Internet explorer:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
• Clique sur Enregistrer

Si tu utilises Firefox:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
• Clique sur Enregistrer

1/ Téléchargement des utilitaires :

Télécharge ATF Cleaner par Atribune.

-Télécharger jv16:
http://telechargement.zebulon.fr/201...owertools.html

-pour plus de détails=>son tutorial:
http://www.zebulon.fr/articles/base-de-registre-3.php

2/Redémarrage en mode sans échec :

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

3/ Affichage des dossier/fichiers cachés :

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

4/ Utilisation d'Hijackthis :

Exécute Hiajckthis choisis, "Do a scan only" et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page =
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.d ll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.d ll
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.h tm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.ht m
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget. exe
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

Ferme toutes les fenêtres sauf Hiajckthis et clique sur "Fix Checked"

5/ Suppression manuelle :

Supprime les fichiers/dossiers en gras suivant :


C:\Documents and Settings\Titu\Local Settings\Temp\180sainstallersilsais1.exe/clientax.dll << le fichier
C:\Program Files\SideFind << le fichier
C:\Documents and Settings\Bruno2\Mes documents\Mes fichiers reçus\CrackSearcher.zip<< le fichier

Vide la corbeille !!

6/ Désinstallation des logiciels :

Désinstalle via ajout/suppression de programme le programme suivant :

FlashGet ( il contient des malwares, je pourrais après te conseiller d'autre utilitaire pour télécharger )

7/ passage d'ATF-Cleaner :

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

8/ Passage D'ewido :

• Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

9/ Utilisation de JV16 :

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

10/ Redémarre en mode normal

11/ Scan en ligne :

Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.

12/ Prochaine réponse :

tu dois me poster les rapports suivant en pièce jointe :


- le log d'ewido
- le log de kasperky ( le scan en ligne )
- un nouveau log hijackthis

Bonne soirée,

Igor

[Bruno]

Rebonjour

Voilà j'ai bien suivit toute la procédure, il y eu un problème au niveau des fichiers à supprimer manuellement (SideFind était introuvable ainsi que 180sainstallersilsais1.exe que j'ai mystérieusement retrouvé en fouinant dans Ewido et je l'ai supprimé manuellement).

Bonne journée,

Bruno

[invite9bff601c]

Bonsoir,

Les rapports sont propres sauf kapserky qui montre que l'infection est encore dans la restauration système ce qui est normale.

Fais la manipulation suivante :

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."
  
  Et voila, un nouveau point de restauration qui est a priori propre

Si tu as plus de problèmes alors fais ce qui suit, sinon reviens me dire quels sont les problème que tu rencontres.

Ensuite et c'est surement le plus important, lis les consignes pour protéger efficacement ton pc et pour ne plus à refaire tout ceci le dossier est ici >> http://www.futura-sciences.com/compr...ssier627-1.php

Bonne soirée,

Igor

[SPH]

Je n'ai pas tout lu et tout suivi mais sache que certain logiciel anti malware liste aussi des cookies et des cles registres (et autres trucs) comme etant des malwares (enfin, je parle plutot de spyware !)
J'en avais 89 l'autre fois.
Et j'en ai toujours "naturellement" quelques uns qui reviennent...

Enfin, Si un anti virus ne te trouve pas de virus, c'est deja ca. Les malware sont moins "dangereux" (quoi que...)
Essaye peut etre d'utiliser : http://www.clubic.com/telecharger-fi...ot-search.html
et :
http://www.clubic.com/telecharger-fi...-personal.html

[Bruno]

Oui merci beaucoup Igor j'en en effet été faire un tour sur ce site hier et j'ai installé Zone Alarm, SpyBot (qui m'a détecter qq espions qui ont été supprimés) mais aussi Ad-Aware et Thunderbird pour remplacer mon Outlook. j'ai également créé un seul compte administrateur et tous les autres comptes sont maintenant limités.

Je ferai encore un scan avec Avast! tout à l'heure histoire de faire le point avec

Bonne journée à tous,

Bruno

[yoda1234]

Je n'ai pas tout lu et tout suivi mais sache que certain logiciel anti malware liste aussi des cookies et des cles registres (et autres trucs) comme etant des malwares (enfin, je parle plutot de spyware !)

Bonjour
au cas ou tu n'en serais pas apperçu, il y a une procédure personnalisée qu'Igor a mis en place, donc merci de respecter son travail.

J'en avais 89 l'autre fois.
Et j'en ai toujours "naturellement" quelques uns qui reviennent...

C'est que ta méthode de protection est inadaptée, je te conseille de lire ce dossier sur la protection des ordinateurs.

Enfin, Si un anti virus ne te trouve pas de virus, c'est deja ca. Les malware sont moins "dangereux" (quoi que...)

Alors il y a beaucoup a dire ...Je te conseille encore une fois de lire ces deux dossiers pour commencer:

• virus informatiques et autre bestioles 1.
• virus informatiques et autre bestioles 2

Essaye peut etre d'utiliser : http://www.clubic.com/telecharger-fi...ot-search.html
et :
http://www.clubic.com/telecharger-fi...-personal.html

Pourquoi conseiller de télécharger un logiciel ailleurs que chez son éditeur, alors que justement, télécharger un logiciel chez son éditeur est aussi une démarche de sécurité?

[SPH]

@yoda:
Car j'ai suffisement confiance en clubic. L'autre avantage est de retrouver l'URL du site du createur sur cette meme page clubic.

Enfin, certains cookies reviennent tot ou tard. C'est en ce sens que je repondais. Mais si ce n'est "que ca", j'assume...

[Bruno]

ReBonjour,

J'ai installé ZoneAlarm (juste le firewall) hier soir et depuis ce moment toutes les 5 secondes il bloque qqch qui essaye de se connecter à mon ordinateur: j'en suis déjà à 234 intrusions bloquées, dont 46 de niveau d'alerte élevé.

Est-ce normal ?

Je me suis dit que il y aurait peut être un malware (trojan espion,..) qui essayerait de rentrer en contact avec un ordinateur extérieur vu que la fréquence est assez régulière (toutes les dix secondes).


Merci de m'avoir lu,

Bruno

[invite9bff601c]

Bonjour Bruno,

oui c'est normal, ne t'inquiète pas pour sa, il y a une option qui permet de mettre cela sous silence.

En tout cas rien de grave je te rassure, comme tu peux le voir le firewall est très important.

Bonne journée,

Igor