Attaque par Win32trojan

[invite575e0438]

Bonjour
Depuis hier celà va mal .Alors que je surfais sur le net, un message s'est affiché : "Internet Explorer soit fermer". Puis Avast a signalé (+sirène !) une infection par "Win32trojan" et mon fond d'écran est devenu rouge . mise en qurantaine comme recommandé. Le gestionnaire de tâches est "désactivé par l'administrateur" et le PC rame un max. Help.
Ci_joint en pièces jointes les 2 analyses habituellement demandées
-----

[invite9bff601c]

Bonjour et Bienvenu sur Futura

1. Télécharger The Avenger par Swandog46 sur votre Bureau.

• Click sur Avenger.zip pour ouvrir le fichier
• Extraire avenger.exe sur votre bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to unload:
windev-6e8a-7454.sys
Files to delete:
C:\WINDOWS\system32\windev-6e8a-7454.sys
C:\WINDOWS\system32\windev-peers.ini

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

• Sous "Script file to execute" choisir "Input Script Manually".
• Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
• Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
• Cliquer Done
• ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
• Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

• Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
• Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
• Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
• The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir poste le ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE



Bonne journée

[invite575e0438]

Merci Igor de vous etre occupé de mon cas douloureux.
Comme demandé,
veuillez trouver en pièce jointe l'analyse Hijackthis

[invite9bff601c]

Bonsoir,

Rend toi sur cette page >> http://secubox.gateweb.org/mad.php

clique sur Parcourir et recherche le fichier suivant
C:\avenger\backup.zip.

Dans "message destiné à notre équipe", inscrit ceci :

http://forums.futura-sciences.com/thread147834.html fichier inconnu, igor51

Ensuite poste moi le rapport généré par the Avenger présent ici > c:\avenger.txt

Bonne soirée

[A voir en vidéo sur Futura]

[invite575e0438]

Excusez moi Igor Je viens de m'apercevoir que dans les pièces jointe j'ai omis de mettre "avenger.text" Hélas je ne le trouve pas ! La recherche demeure muette... que faire ? Recommencer toute l'opération ? Au passage le fond d'écran n'a pas reparu . Il est donc toujours rouge pompier !

[invite575e0438]

Bonsoir, Igor
La petite manip a été faite et voici "avenger.text" en pièces jointes
Encore merci et @ +
Dr Jekill

[invite9bff601c]

Re,


voici la suite.

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.


*
Option 1

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm


Bonne soirée

[invite575e0438]

Désolé Igor , je n'ai pas envoyé le bon fichier. Le voici enfin ! C'est la pécipitation due à mon age.
Jekill

[invite9bff601c]

Pas de problème

Je t'ai posté la suite de la procédure dans mon précédent message.

Bonne soirée

[invite575e0438]

Re Igor
Voici le rapport Smitfrau

[invite575e0438]

Pauvre Igor !
Apparement le fichier n'est pas passé!
J'espère que ce coup ci...
Jekill

[invite9bff601c]

Re,

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Toujours en mode sans échec :

Une fois en Mode sans échec, double-clique sur SmitfraudFix.exe
Selectionne l'option #2 - Nettoyage en tapant 2 et appuie sur "Entrée" pour supprimer les fichiers infectés.

A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu..

Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.; si ce n'est pas le cas, redémarre en mode normal manuellement.
Un rapport sera généré, avec les résultats de l'opération de nettoyage; poste ce rapport dans ta prochaine réponse
Le rapport peut être trouver à la racine du disque système, souvent C:\rapport.txt

Attention : L'option 2 pourra supprimer le fond d'écran.


Dans ta prochaine répons,e j'attends les rapports suivant :

-> AVG-AS
-> Smitfraudfix option 2
-> un nouveau rapport Hijackthis.

Bonne soirée

[invite575e0438]

Yoopee Igor
Tout est rentré dans l'ordre après avoir effectué les toutes dernières manip. Comme annoncé, le fond d'ecran a disparu mais cétait le standard "Dunes" alors...
En tout cas merci pour votre patience mise au service d'une compétence sans faille . De plus pour un lourdeau comme moi, cela m'apprend à manipuler des fichiers, ce que je n'avais jamais pratiqué avant. Les explications pas à pas sont très claires et on est content de s'en sortir proprement. Virtuellement hélas, je vous confectionnerai ... une tarte "tatin" dont vous me direz des nouvelles.
Voici les rapports AVGAS
Smitfrau 2
et nouveau Hijackthis
Bye et encore bravo.

[invite9bff601c]

Bonjour Dr Jekill,


tu t'es trompé de rapport, peux-tu me poster le rapport d'AVG-AS ?

Ce n'est pas encore tout à fait fini, on doit encore vérifier qu'il ne reste vraimetn plus rien, mais le plus gros de la désinfection est fait.

Je te donnerai la suite des opérations lorsque tu m'auras posté le rapport.

Bonne journée

[invite575e0438]

Bonjour Igor,
Obligations familiales obligent, je viens juste de me connecter pour apprendre ma nouvelle erreur...
Désolé : voici le bon rapport du moins j'espère

[invite9bff601c]

Bonjour Dr Jekill,

Pas de problème, surtout prend ton temps

Bon aller les dernières vérifications :

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.


---------------------------------------------------------------------------


Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip

1. Fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, choisis extrait tout ou extraire ici
2. Cela va créer un dossier clean.
3. Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
4. Double-clique sur clean. Cela va ouvrir une fenêtre noire.
5. Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.

Clean va travailler.
Un rapport va etre généré, poste ce rapport dans ta prochaine réponse.



Poste moi les deux rapports en pièce jointe.

Bonne soirée

[invite575e0438]

Cher Igor
J'ai bien cherché à à faire un scan avec Kaspersky on line mais après un moment, il affiche qu'il faut être en compte administrateur et avec un taux de sécurité moyen pour y accéder. Or ces conditions sont respectées ! Comment contourner ce problème ?
Merci par avance du tuyau qui ne manquera pas de suivre.

[invite9bff601c]

Re,

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
• Coche Run this program as a task
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
• Lorsque le scan termine, clique sur le bouton Remove L2M
• Un message Done Scanning apparaîtra, clique OK.
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
• Ton PC va maintenant s'éteindre.
• Démarre ton PC normalement.
• Poste le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

Voila qui devrait résoudre ce petit problème, un fois l'outils passait, re-essaie le scan en ligne.

Bonne soirée

[invite575e0438]

Bonsoir Igor
Comme demandé , j'ai effectué la manip L2M
Voici donc les rapports L2M
et Hijackthis
Bonne soirée

[invite9bff601c]

Bonjour,

peux-tu refaire un scan avec kaspersky ?

Bonne journée

[invite575e0438]

Bon dimanche Igor,
Voici le rapport Kaspersky du long (+ d'1 heure)scan.
Apparement il y aurait quatre virus et cinq objets infectés.
Merci Doc pour tous vos bons soins.
Jekill

[invite9bff601c]

Bonjour Dr Jekill,

On finit

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\system32\tjcrgyxf.exe
  C:\WINDOWS\system32\alt.exe.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

---------------------------------------------------------------------------

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

--------------------------------------------------------------------------

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Smitfraud

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide


---------------------------------------------------------------------------

As-tu encore des problèmes ?


Bon Dimanche

[invite575e0438]

Re Igor
Dans l'analyse Kaspersky, je viens de voir une rubrique, à droite "nettoyer maintenant", faut-il cliquer dessus ? De toutes façons, je ne ferai rien sans votre avis. J'attends donc. @ +
Jekill

[invite9bff601c]

Bonjour,

non non suis juste mes instructions ( message #22 ), cela nettoyera coorectement ton système

Bon Dimanche

[invite575e0438]

Re Igor,
Alonso a gagné Monaco !
Voici le rapport OT Move mais j'ai eu des difficultés : un fenêtre "Security Center" qu i s'ouvre à presque chaque essai d'envoi ...
A tout à l'heur pour le "podium" et les remerciements.

[invite9bff601c]

Re,

peux-tu m'en dire plus sur cette fenêtre " Security Center" ? Quel genre de message montre-t'il ?

Bonne journée

[invite575e0438]

Cher Igor,
pour répondre à la question de la fenêtre intempestive, elle se présente avec un disque rouge barré d'1 croix blanche suivi de l'écusson du centre de sécurité. Le message suiant vient :SECURITY CENTER.Help protect your PCWarning spyware files are detected on your computer. It's highly recommended to scan the system immediately to remove all spywre and adwre programs. Spyware gathers your private information [/B]without your constent. This information includes password and credit card details etc...
Remove all spyware from your PC
Click here for free scan
Je ne sais pas faire de copie d'ecran mais , ai recopié le principal.
Sinon comme demandé, le PC a été redémarré après avoir décoché la restauration et rétabli après redémarrage. Ai-je été suffisamment précis dans ma réponse ?
Jekill

[invite9bff601c]

Re,


très précis comme description.

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.


*
Option 1

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm



Poste moii le rapport en pièce jointe

Bonne soirée

[invite575e0438]

Bonsoir Igor,
Excusez le temps de réponse: la livebox m'avait déconnecté.
Voici le rapport Smitfraud

[invite9bff601c]

Re,

ne t'inquiète pas, tu as tout ton temps pour répondre.

• Double-clique sur le dossier Diaghelp
• Double-clique sur go.cmd (le .cmd peut ne pas apparaître)
• Une fenêtre va s'ouvrir, choisis l'option 1
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
• A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note..
• Poste le rapport qui s'affiche dans ton prochain post.

Bonne soirée