Infection virus

[invite19d1ca97]

Bonjour,

Je suis infecté par 2 virus que j'ai reperé avec Spybot : Smitfraud-c et Torpig, j'ai essayé de faire une analyse avec mon antivirus mais il ne les detecte pas alors je ne peut les enlever. Donc je m'en remet à vous afin que vous puissiez m'apporter votre aide car je ne m'y connait pas beaucoup en informatique.

Voila les rapport:
-----

[invitef2671992]

Essaye de lancer ton AV en mode sans échec...

Mais il y a des spécialistes plus qualifiés que moi en la matière.

Francis

[invitedf17bbdc]

Je ne sais pas si j'ai bien compris, mais il te suffit de supprimer les fichiers infectés ou de réinstaller complètement ton ordinateur (ce qui est préférable).

Bonne journée
XIB

[invite19d1ca97]

J'ai aussi pensé a les supprimer mais ce sont des fichiers qui se trouve dans C:\Windows donc j'ai préféré ne pas y toucher de peur de faire une betise et d'avoir a tous reinstaller; si je peut eviter a le faire.

[A voir en vidéo sur Futura]

[JPL]

Ne t'affole pas : quelqu'un du groupe antimalware va passer et te dire quoi faire. Dans 99,9% des cas il est inutile de formater.

[igor51]

Bonjour à tous,

Voici la procédure à faire pour te débarasser de cela:

Tu devrais imprimer ces instructions, ou les copier dans le Blocnote pour les lire lorsque tu
sera en Mode sans échec, car tu n'auras pas accès à Internet pour les lire.

Ensuite, redémarre ton ordinateur en Mode sans échec en faisant ceci :

• Redémarre ton ordinateur
• Après avoir entendu un beep de ton ordinaeur, mais avant que l'icone Windows apparaisse, taopte la touche F8;
• A la place du chargement normal, un menu avec des options devrait appraitre;
• Sélectionne la première option, pour démarrer Windows en Mode sans échec, et ensuite appuie sur "Entrée".
• Choisis ton compte courant.

Une fois en Mode sans échec, double-clique sur SmitfraudFix.exe
Selectionne l'option #2 - Nettoyage en tapant 2 et appuie sur "Entrée" pour supprimer les fichiers infectés.

A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu..

Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.; si ce n'est pas le cas, redémarre en mode normal manuellement.
Un rapport sera généré, avec les résultats de l'opération de nettoyage; Poste ce rapport dans ta prochaine réponse, ainsi qu'un nouveau log Hijackthis
Le rapport peut être trouver à la racine du disque système, souvent C:\rapport.txt

Attention : L'option 2 pourra supprimer le fond d'écran.

Bonne journée,

Igor

[invitedf17bbdc]

J'ai aussi eu un virus sur C:\windows : donc impossible de le supprimer ...
Je ne voulais pas réinstaller mon ordinateur et j'ai attendu ... et le virus a disparu !!! Ca fait 6 mois qu'il n'y est plus et je n'ai rien fait !
J'espère qu'il disparaitra !! Ou que tu trouveras une solution (je ne suis pas expert, je ne sais pas quoi te dire d'autre à faire).

XIB

[invite19d1ca97]

Voila j'ai fait tous ce que tu a dit; et voila les rapport smitfraud fix et hijackthis:

[invite19d1ca97]

Je sait pas si ca a un lien avec ce virus mais quand j'utilise Firefox ou IE7, j'ai des fenetre de pub qui apparaisse pourtant le Anti pop-up est activé.

[igor51]

Bonsoir,

on va regarder cela ( ton problème de pub)

1/
Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
Déroule la procédure ci-dessous

• Clic en bas sur I accept
• Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
• Lance-le en double-cliquant sur le fichier blbeta.exe
• Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
• Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
• Ouvre fsbl-bxxxx.log et poste le rapport dans ta prochaine réponse

Aide : Tu peux consulter le tutorial de F-Secure BlackLight

2/

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis Poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Bonne soirée

Igor

[invite19d1ca97]

Voila les rapports:

[igor51]

Bonsoir,

Voici la procédure à faire en entier, si dedans, il y a quelque chose que tu ne comprends pas, n'hésite pas à poser des questions.
Les rapports demandés seront recapitulés à la fin de la procédure et tous doivent être postés en pièce jointe

Télécharge ATF Cleaner par Atribune.

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.
Télécharge Brute Force Uninstaller (de Merijn).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).


2/
Ouvre le Bloc-note et copie-colle les lignes ci-dessous

Code:

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ofmtdkciqf
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ofmtdkciqf
FileDelete %SYSDIR%\ofmtdkciqf_navup.dat
FileDelete %SYSDIR%\ofmtdkciqf_navps.dat
FileDelete %SYSDIR%\ofmtdkciqf_nav.dat
FileDelete %SYSDIR%\ofmtdkciqf.dat
FileDelete %SYSDIR%\ofmtdkciqf.exe
FileDelete %WINDIR%\PREFETCH\ofmtdkciqf.exe*.pf

Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "FixOne.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers).

3/

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

4/

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Sous Scriptline to execute copie/colle cette ligne :
c:\bfu\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

5/

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Sous Scriptline to execute copie/colle cette ligne :
c:\bfu\FixOne.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

6/

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

7/ Redémarre en mode normal.

Poste un nouveau log Hijackthis dans ta prochaine réponse.

As-tu encore des problèmes ?

Bonne soirée,

Igor

[invite19d1ca97]

Bonsoir,

Voila le log hijackthis:

[igor51]

Bonsoir,

As-tu encore des problèmes ?

Bonne soirée

[invite19d1ca97]

Pour le moment je ne rencontre plus rien d'anormal, plus de pub intempestive. Donc je pense que le probleme est resolue.

Merci.

[igor51]

Bonsoir,

------------------------------------------------------
Une dernère manip et ce sera bon :

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

------------------------------------------------------

Ton système est maintenant propre ! Tu peux désinstaller tous les logiciels que nous avons utilisé.

Je t'encourage vivement à lire le dossier de JPL sur la protection des ordinateurs pour en plus que celà t'arrive.

Si, dedans, il y quelque chose que tu ne comprends pas, n'hésite pas à poser toutes les question que tu souhaites.

Bonne soirée,

Igor