virus

[invite09559348]

Bonjour,

je crois que mon pc est infecté.
J'ai effectué la procédure de nettoyage de ce forum + une analyse avec mon antivirus.
Je vous poste donc les logs ewido, hijackthis et bitdefender.
Merci de votre aide!
-----

[Cyrrus]

Bonsoir nina,

On va faire un scan assez poussé, la bestiole que tu as étant assez perverse. Si tu as des questions n'hésite pas, je suis là.

Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur


Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste le rapport (en pièce jointe) que tu as sauvegardé dans ta prochaine réponse.

Bonne soirée
Cyrrus

[invite09559348]

Bonsoir,

je ne comprends pas cette étape:

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Peux tu m'expliquer?
merci!

[Cyrrus]

Re bonsoir nina,

Une fois l'étape 3 effectué, tu as deux nouveaux dossier qui se crée : Bases et Downloads

Ces deux dossiers se trouvent dans C:\, accessible par Demarrer (en bas à gauche)>Poste de travail>double clique sur C: (ton disque dur)

Tu y trouveras donc le dossier Download. Il te suffit ensuite de copier/coller le contenu de ce dossier dans le dossier Kaspersky, qui se trouvera juste en dessous (pense à accepter le remplacement des fichiers).

Bonne soirée
Cyrrus

[A voir en vidéo sur Futura]

[Cyrrus]

PS : Je sais que c'est assez contraignant, mais essaye de demarrer le moins de programme possible, le strict necessaire, le virus infectant les exe des programmes se lancant. Cela permettra de juguler un peu l'infection.

[invite09559348]

Ca y est j'ai tout fait, mais le logiciel n'a pas rien écrit dans la fenêtre Virus Log Information.
Cependant dans la fenêtre du dessus, il n'avait trouvé aucun virus.
Je n'ai pas de log à poster puisque le seul que j'avais était celui très lourd.
Mais apparemment il ne detecte pas de virus.
Que dois-je faire maintenant?

[Cyrrus]

Re,

Ok, on va enchainer avec un autre scan (tu n'es pas obligé d'y passer la nuit tu sais )

Scan en ligne avec Kaspersky :
- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer
- Scan la zone critique
- Copie/colle le résultat et poste le en pièces jointe ici

Bonne soirée/nuit
Cyrrus
PS : J'ai oublié de te souhaiter la bienvenue sur Futura......donc...Bienvenue sur Futura !

[invite09559348]

Bonjour,

Que veux-tu dire par "Scan la zone critique" ? pour moi c'est qu'elle zone?
merci encore de tes conseils.
Comme tu vois je n'y ai pas passé la nuit, je ferais ça ce soir ou demain et je poste les résultats sur le forum.
En attendant peu-tu m'en dire plus sur mon virus.
Il est pervers tu disais..

[Cyrrus]

Bonjour Nina,

Excuse moi du manque d'info pour le scan en ligne. Voici une explication plus détaillé :

Fais un autre scan complet en ligne avec Kaspersky WebScanner : http://webscanner.kaspersky.fr/

* Sous "Démonstration en ligne" , on t'explique la marche à suivre.
* Pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .
* Le scan ne marche que sous Internet Explorer.
* On va te demander de télécharger un contôle active x, accepte .
* Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
* Le scan va commencer.Poste le rapport qui sera généré stp.
* Aide toi de ce tuto de Malekal_morte si tu n'y arrives pas : http://www.malekal.com/scan_Av_en_li...mozTocId291566.

Pour ce qui est de ton virus, il infecte les fichier .exe des programmes que tu lances. La désinfection se fait donc principalement via des scans qui peuvent éliminés ce virus dans les fichiers contaminés. Malheuresement, je ne peux pas te promettre une rémission du virus. Par conséquent, si l'infection est trop grave, le meilleur moyen de s'en débarrasser sera de formater. eScan n'ayant rien trouvé, je dirais que c'est plutot bon signe.

Bonne journée
Cyrrus

[invite09559348]

merci pour les infos!
Ne me parles pas de formater, je viens de passer mon we à le faire!! a peine une semaine de survie et me revoilà infectée, s'est pas normal!
j'espère que le virus va s'en aller parce que le formatage n'est pas mon sport favori.

Bonne journée.

[invite09559348]

Bonsoir!

voici le rapport de Kaspersky:

Bonne soirée et merci pour l'aide!

[Cyrrus]

Bonsoir Nina,

Il y a quelques fichiers néfastes, on va s'en occuper :

1/

Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip
Place le programme dans le répertoire qui te plaît (pas d'installation Windows)

- redémarre l'ordinateur en mode sans échec

- lance Pocket Killbox
--- choisis l'option Delete on Reboot

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

Code:

C:\WINDOWS\system32\h323log.txt
C:\WINDOWS\system32\kzcfvm.exe
C:\WINDOWS\system32\veudlj.exe
C:\Documents and Settings\Eglantine\Application Data\Real\Update

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
--- si un ou des fichiers ".dll" sont présents dans la liste, coche "Unregister .dll Before Deleting".
--- clique sur la croix blanche sur fond rouge (Delete File) :

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

2/ Une fois l'ordinateur redemarré, effectue un nouveau scan de ton pc avec KasperskyWebscanner, et poste moi le nouveau rapport qu'il te donnera.

Bonne soirée
Cyrrus

[invite09559348]

Bonjour,

voici le rapport n°2:
Alors, docteur, c'est grave?

[Cyrrus]

Bonjour Nina,

La manip n'a pas marché. Le virus a infecté des applications saines, j'ai bien peur que nous devions les desinstaller/réinstaller.

Avant toutes choses, assure toi d'avoir acces à tous les fichiers/dossiers cachés (aide : ici)

1/

Étape 1:

• Crée un dossier que tu vas nommer Sysclean Package dans C:\Program Files par exemple.
  
• Désactive, le temps de la procédure, tous les contrôleurs d'intégrité
  (si présents) comme le tea timer de Spybot, Process Guard, Hanti hook,
  Winpooch, etc..
• Note: Les possesseurs d'Avast antivirus ne doivent pas utiliser Sysclean autrement qu'en mode sans échec car Avast considère sysclean.com comme infecté par le virus VBS:Redlof !!Pour scanner le pc en mode normal(en cas de problème pour accéder au mode sans échec) il faudra désactiver Avast le temps du scan pour éviter tout conflit.(cette remarque peut être valable pour d'autres antivirus!)

Étape 2:

• Télécharge Sysclean Package et enregistre le dans le dossier que tu viens de créer.

Étape 3: Mise à jour.

• Rends toi à la page suivante:Controlled Pattern Release,et accepte le disclaimer en cliquant sur I Accept.
  
• Une nouvelle fenêtre vas s'ouvrir:télécharge le fichier nommé lptXXX.zip (ou X représente la version du fichier,c'est le premier de la liste.),et dézippe le dans le dossier que tu viens de créer.

2/ A ce moment là, redemarre en mode sans échec, imperativement (aide ici)

3/ Supprime les fichiers suivants :

C:\!KillBox\kzcfvm.exe
C:\!KillBox\veudlj.exe
C:\WINDOWS\system32\h323log.txt
C:\WINDOWS\system32\txunw.exe
C:\WINDOWS\system32\ypjqbgr.exe
C:\Program Files\Real\RealOne Player\Setup\setup.exe<-- pas le choix, il est infecté

4/ Toujours en mode sans échec :

Étape 4:

• Lance le fichier "Sysclean" par un double clic. Une fenêtre nommée "Trend Micro Sysclean Package" va s'ouvrir.
• coche la case "Automatically clean or delete detected files"
• Clique sur le bouton Scan
• Patiente le scan peut prendre du temps!
• Une fois le scan terminé, clique sur le bouton View Log .Sauvegarde le rapport au format texte qui a été généré.
• Ferme le programme. Redémarre ton PC en mode Normal. Poste le rapport que tu as sauvegardé dans ta prochaine réponse en pièces jointes.

5/

Télécharge DiagHelp.zip sur ton bureau
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
- Copie/colle le contenu du bloc-note qui s'ouvre.
- Poste le rapport ainsi créé en pièces jointes.

6/ Il serait aussi conseillé de desinstaller/reinstaller Firefox, qui lui aussi est infecté (désolé ).

7/ Enfin, désactive/réactive ta restauration système (aide ici)

Bonne journée
Cyrrus

[invite09559348]

Bonsoir,

Je bloque au niveau du téléchargement de Sysclean package. J'ai le message d'erreur suivant:
"File LTP$VPN* missing. Please dowload a copy".

Que dois-je faire?
Merci

[Cyrrus]

Bonsoir Nina,

Le téléchargement ? Chez moi le téléchargement marche tres bien. Ne veux tu pas parler de l'utilisation ? Avant de double cliquer sur sysclean.com, il faut télécharger le fichier de mise à jour et le decompresser dans le dossier que tu auras creer (comme expliqué).

Bonne soirée
Cyrrus

[invite09559348]

je ne sais pas où se situe le probleme; On ne me propose pas d'enregistrer sysclean dans le dossier que j'ai crée. Il s'enregistre sur le bureau et quand je clique dessus j'ai le message d'erreur cité plus haut.

Donc ca ne marche pas . Crois tu qu'en mode sans échec ça marchera?

[Cyrrus]

Re,

Une fois sysclean.com sur le bureau, tu n'as qu'à faire :

- clic droit-> Couper
- puis tu vas dans le dossier que tu as créée
- clic droit -> Coller

Sysclean.com sera donc dans le bon dossier. Mais pour autant il faut d'abord decompresser les fichiers de mises àjour que l'on te demande de télécharger dans l'étape 3.

C'est le même principe, tu télécharges le fichier lpt784.zip, puis tu le dézippe dans le même dossier que sysclean.com (soit tu dézippe sur ton bureau et tu coupe/colle, soit tu dézippe directement dans le bon dossier)

[invite09559348]

ok, merci bcp (je suis pas très douée, désolée!)
apparemment c'est mieux je n'ai plus de message d'erreur.

je vais donc faire tout ce que tu as dit.
RDV dans qq minutes, le temps pour moi de tout faire.
@+

[invite09559348]

Re!

Voici mes rapports:

Please, dites moi que l'infection est éradiquée!

Bonne soirée!

[Cyrrus]

Bonjour Nina,

La bestiole est encore là. J'ai besoin d'un peu de temps pour analyser le premier rapport, et je suis assez pris cette semaine. Je vais te faire faire un autre scan susceptible de marcher.

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karan...efr&ac=webroot

• Clique sur "Télécharger la version test".
• Installe le programme. Une fois installé, il se lancera.
• L'option de le mettre à jour s'affichera; clic Yes.
• Lorsque les mises à jour seront installées, clic Options sur la gauche.
• Clic sur l'onglet Sweep Options.
• Sous What to Sweep, coche les options suivantes:
  • Sweep Memory
  • Sweep Registry
  • Sweep Cookies
  • Sweep All User Accounts
  • Enable Direct Disk Sweeping
  • Sweep Contents of Compressed Files
  • Sweep for Rootkits
  • DÉCOCHE Do not Sweep System Restore Folder.
• Clic Sweep Now sur la gauche.
• Clic sur Start.
• Quand le scan est terminé, clic sur Next.
• Assure-toi que tous les items sont cochés, puis clic sur Next.
• Tous les items cochés seront éliminés.
• Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.
• Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.
• Clic sur l'onglet Summary, puis clic sur Finish.
• Colle le contenu du "Session Log" dans ta prochaine réponse.

Poste moi le rapport en pièces jointes, comme d'habitude.

Bonne soirée
Cyrrus

[invite09559348]

Bonjour,

je n'arrive pas à installer Spysweeper. j'ai encore un message d'erreur qui me demande de redemarrer et quand je redemarre ca me remet le meme message.

De plus, je ne te cache pas que je suis un peu fatiguée de télécharger des outils qui ne marche pas. Y a t'il encore beaucoup d'étape?

Merci!

[Cyrrus]

Bonjour Nina,


Je comprends ta lassitude. Pour Spysweeper oublie, mais je ne pourrai pas te donner de procédure avant Vendredi après midi. Je vais me renseigner auprès de quelques compères pour essayer e trouver une solution.

Cyrrus

[JPL]

Il faut savoir que certaines bestioles sont vraiment très difficiles à éradiquer. Or nos trois compères qui interviennent dans ce forum pour tenter de régler ce genre de problème sont vraiment très pointus sur les techniques de désinfection, et sont en contact avec une communauté de spécialistes.
Moi aussi je comprends ta lassitude, mais tu peux difficilement être en de meilleures mains.

[invite09559348]

oui, je sais que je suis entre de bonnes mains, je suis juste un peu lassée mais, c'est rien.
Cyrrus, je patiente jusqu'a vendredi sans problème.

Merci!

[invite09559348]

Bonjour,

Désolé de vous embeter mais est-ce que vous avez trouvé une solution à mon problème?

[Cyrrus]

Bonjour Nina,

Désolé de t'avoir fait attendre, j'ai été très pris cette semaine.

Je suis en train de te rédiger une procédure. J'espère qu'elle marchera, car sinon je serai un peu à court d'idée. Rassure toi ce ne sera pas un énième scan...

Bonne journée
Cyrrus

[Cyrrus]

Re,

1. Télécharger The Avenger par Swandog46 sur votre Bureau.

• Click sur Avenger.zip pour ouvrir le fichier
• Extraire avenger.exe sur votre bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Code:

files to delete:
C:\WINDOWS\System32\.exe
C:\WINDOWS\System32\ypjqbgr.exe
C:\WINDOWS\System32\txunw.exe
C:\Documents and Settings\Eglantine\Application Data\Real\Update\playinst_aupackage.exe
C:\Program Files\Real\RealOne Player\Setup\setup.exe

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

• Sous "Script file to execute" choisir "Input Script Manually".
• Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
• Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
• Cliquer sur Done
• ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
• Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

• Il va Re-démarrer le système.
• Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
• Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
• The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et transféré l'archive zip ici C:\avenger\backup.zip.

5. Une fois l'ordinateur redemarré, désactive/réactive ta restauration système. Aide toi de ce tuto

6. Puis désinstalle/réinstalle les applications suivantes (via Demarrer > Panneau de Configuration > Ajout/suppression de programmes) :

• Real One Player
• Mozilla Firefox

7. Poste moi en pièces jointes le fichier avenger.txt se trouvant ici : C:\avenger.txt

Cyrrus

[invite09559348]

Bonsoir,

J'ai téléchargé Avenger, mais j'ai le message suivant lorsque je clique dessus:
"Integrity failed.This file has been modified.reason might be a possible virus infection."

Que dois-je faire?

Merci.

[Cyrrus]

Bonsoir Nina,

Erf, il semble que le virus est infecté Avenger. Essaye ceci :

Renomme Avenger.exe en Avenger.com et essaye de le lancer

Bonne soirée
Cyrrus