Win32:Dialer-BN [Trj] gameglobin (encore lui))

[invite06dc4cba]

Bonjour,

Je suis victime d'un malware déjà connu sur ce forum:
"AVAST me signale que j'ai un trojan sur mon ordinateur. Après un scan complet avec AVAST, le problème persiste. De temps en temps, AVAST me signale qu'un "dialer" essaye de se connecter, et le site en question est "http://gameglobin.info/g.php?wmid=bg004\[UPX]"

D'après ce que j'ai vu sur différents forums, le nettoyage risque d'être long et pénible, et je suis à la limite de penser formatage...

Je vous envoie les différents rapports (j'ai cru comprendre que Unhooker, n'était pas nécessaire).

Pouvez-vous me dire ce que vous en pensez?

Merci beaucoup,

Sebastien
-----

[invite275db609]

Bonjour belese, et bienvenue sur Futura-Sciences

Commencons comme suit :

Désinstalle par Ajout/Suppression de programme le programme suivant, si présent :
NetAnts (il est couplé à un adware : http://www.castlecops.com/o9list-225.html )

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre ton poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

• Analyse ce fichier winlef32.dll chez virustotal :
  http://www.virustotal.com/xhtml/virustotal_en.html
• Clique sur parcourir localise le fichier sur ton disque dur ( C:\WINDOWS\SYSTEM32\winlef32.d ll ) et clique sur send.
• Attend le rapport et colle le dans ta prochaine réponse

• Télécharge OTMoveIt de OldTimer.
• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

Code:

C:\WINDOWS\SYSTEM32\winlef32.dll
C:\torwxnvw.exe
C:\icfl.exe
C:\lskpnns.exe
C:\ucqstm.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le bouton rouge Moveit!.
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles, en pièce jointe.

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

Code:

O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NETANTS\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NETANTS\NetAnts.exe
O20 - Winlogon Notify: winlef32 - C:\WINDOWS\SYSTEM32\winlef32.dll

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

Poste nous les rapports suivants : virustotal, OTmoveIT et un nouveau hijackthis stp.

Bonne journée

[invite06dc4cba]

Merci beaucoup

Désolé de répondre si tard, je n'ai pas beaucoup le temps pour le moment.

J'essaye sur mon portable dès que j'y ai accès, et j'envoie les infos!

Sébastien

[invite06dc4cba]

Voilà les rapports.

Désolé mais j'ai perdu le rapport de virustotal en fermant mes fenêtre . Toutefois, il indiquait bien une infection sur le fichier.

Encore Merci,

Sébastien

[A voir en vidéo sur Futura]

[invite06dc4cba]

Finalement, le message est encore là...

bonne soirée

[invite275db609]

Bonjour

Peux-tu me poster un nouveau rapport fiaghelp option1 stp ...

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

2 rapports donc : Diaghelp option1 et KasperskyOnline.

Bonne journée

[invite06dc4cba]

Voilà les deux rapports!

Bonne soirée,

Sébastien

[invite275db609]

Bonsoir

Pourrais-tu poster une capture d'ecran de ton alerte stp ?
Les rapports sont propres.
Vide tes fichiers temporaires avec ATF-Cleaner, comme demandé dans la procédure.

Bonne soirée

EDIT : Oups, j'ai laissé passé ceci :

Reprend OTmoveIT en copiant cette ligne :

Code:

C:\Documents and Settings\sblaise\Bureau\winedt_5.5__keygen.exe

[invite06dc4cba]

C'était bien réglé.

Peut-être que le message s'affichait encore car je n'avais pas redémarré.

En tout cas maintenant, plus de problème

Merci pour ton aide et ta patience

Sébastien

[invite275db609]

Bonjour belese

Super

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

Désinsalle/supprime tout ce que je t'ai fait téléchargé (sauf bien sur le firewall), tu peux aussi garder ATF-Cleaner.

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Types
Ton infection était winlef32.dll

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne fin de journée