Smitfraud-C.Toolbar888 et Virtumonde

[inviteeddfca99]

Bonjour à la communauté.
Après quelques téléchargements non autorisés (c'est mal : erreur du débutant), j'ai des problèmes de pages internet intempestives (contenu : sur la sécurité informatique en ce moment, héhé).
Meme en lancant avast et spybot en mode sans échec, le problème n'est pas résolu.
Spybot m'indique toujours au moins "Smitfraud-C.Toolbar888" et "Virtumonde", qu'il n'arrive pas à faire disparaitre.

Je n'ai pas mis de firewall supplémentaire : mon revendeur-assembleur m'indique que ma Livebox est déjà un pare-feu.

Voici les documents préliminaires demandés (j'ai remplacé mes noms apparaissant par "nom" ou "gars" ou "fille") :

Merci pour votre concours.

PS : je ne sais pas redémarrer en mode sans échec volontairement (windows XP). La touche F8 au démarrage me propose juste sur quel lecteur booter.
-----

[yoda1234]

Je n'ai pas mis de firewall supplémentaire : mon revendeur-assembleur m'indique que ma Livebox est déjà un pare-feu.

Bonjour,

à ma connaissance les box's, ont le même défaut que le firewall de Windows XP, ils ne filtrent que le flux rentrant (in), pas le sortant (out).
Donc, je te recommande d'installer un parfeu digne de ce nom.

[invite9bff601c]

Bonjour et Bienvenu sur Futura;

tu as bien fait de modifier tes noms/prénoms qui apparraient

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Poste le rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

Bonne journée

[inviteeddfca99]

Merci pour vos réponses rapides,
voici les premiers résultats :

Qu'en est-il pour la suite ?
Merci à vous.

[A voir en vidéo sur Futura]

[invite9bff601c]

Bonjour,

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.


*
Option 1

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

Bonne journée

[inviteeddfca99]

Bonjour au GAM,

ci-joint le rapport SmitfraudFix (option 1) et un rapport HiJackThis.

Merci, bien à vous.

A noter : depuis le Remove Vundo, le fichier etiqqwk.dll a été supprimé (parmi d'autres). Windows ,à chaque démarrage,indique une erreur de chargement pour le chemin de ce fichier, le module spécifié est introuvable (logique).

[invite9bff601c]

Bonjour,


C'est normal qu'il ne trouve pas le fichier, il a été supprimé
--------------------------------------------------------------------------
On va arranger cela :

Lance Hiajckthis, choisis D a scan only et coche les lignes suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {896AF5D1-07C6-4E3E-A119-0C04B6EDB826} - C:\WINDOWS\system32\geeda.dll (file missing)
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\WINDOWS\system32\ackrlwlf.d ll
O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\etiqqwlk. dll",realset


Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checked
--------------------------------------------------------------------------

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

   C:\WINDOWS\system32\ackrlwlf.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse


--------------------------------------------------------------------------

Télécharge Dr Web Cure it

• Double clique sur drweb-cureit.exe puis sur Analyse. Accepte le scan rapide en cliquant sur Ok.
• Le programme va scanner la mémoire ton pc. Clique sur Oui pour supprimer ce qu'il te trouve. Cela ne devrai pas prendre longtemps.
• Une fois cela fait, clique sur Tous les disques durs.
• Clique sur la flèche verte à droite, en dessous du logo. Le scan va démarrer.
• Choisis "Oui pour tous" s'il te demande de nettoyer/déplacer (cure/move) les fichiers trouvés.
• Une fois le scan finis, tu devrais pouvoir cliquer sur cette icône =>
• Clique ensuite sur l'icône suivant et sélectionne "Move incurable".
  
• Une fois cela fait, fait Fichier - Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Il devrait se nommer DrWeb.csv.
• Redemarre ton ordinateur, car des fichiers peuvent necessiter un redemarrage pour être supprimés.
• Poste le contenu du rapport en pièces jointes (pense à renommer DrWeb.csv en DrWeb.txt).

--------------------------------------------------------------------------

Bonne journée

[inviteeddfca99]

suite du processus.

voici les rapports :

OTMovelt,
DrWebCureit
et un HiJackThis.

Merci à vous.

[invite9bff601c]

Bonsoir,

Où en sont les problèmes ?


Pour vérifier, on va faire encore un scan :

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Bonne journée

[inviteeddfca99]

Bonsoir,
il semble que le combat continue contre le troyen :

voici le rapport karspersky.

Merci à vous,
à bientot pour la suite.

[invite9bff601c]

Bonsoir,

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

   C:\WINDOWS\system32\htuhsumf.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

----------------------------------------------------------------------------

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

--------------------------------------------------------------------------

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

---------------------------------------------------------------------------

Dis moi si tu as encore des problèmes.

Poste moi le rapport de Move IT

Bonne soirée

[inviteeddfca99]

Bonjour Igor,

merci pour ta réponse.

Voici le dernier rapport OtMoveIt.
Je n'ai pas encore fais le point de restauration : je le ferai après ta réponse si le PC est propre.

J'ai fais tourner Spybot. Il m'a trouvé :
Adviva,
Avenue A, Inc,
Blue Streak,
Doubleclick,
et le plus balaize : Smitfraud-C.toolbar888.

C'est pas gagné, j'ai l'impression.
Dans Spybot, ne faut-il pas supprimer ce qu'il garde dans la sauvegarde?

Merci à toi et bonne journée, à ce soir, je pars gagner ma vie!

[inviteeddfca99]

Rectification :
après avoir supprimé les spy trouvés par Spybot, et après redémmarage du PC,
Spybot ne me détecte plus que AvenueA Inc et Doubleclick,
dont on se débarrassera peut etre plus facilement

Bonne journée, à bientot.

[invite9bff601c]

Bonjour,

On va faire autrement alors :


Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Poste le rapport en pièce jointe dans ta prochaine réponse.

Bonne journée

[inviteeddfca99]

Bonjour Igor,

je devance la réponse. Etant au boulot, je ne peux pas faire cette action tout de suite sur mon PC.
Mais je vais avoir un problème : en tapant F8 durant le boot, je n'accède qu'à la possibilité de booter à partir du disque ou d'un autre périphérique (lecteur CD) , mais pas à la possibilité de lancer en mode sans échec.
Avec alt+supp, je peux aller dans le bios. C'est tout ce que je sais pour l'instant.
Je vais prendre une photo de l'écran durant le boot, pour chercher la touche spécifique.

A moins que tu ne connaisses la parade.

Merci. A tout à l'heure et bonne journée.

[inviteeddfca99]

Bonsoir,

AVG antispyware en mode sans échec éxécuté (pour le mode sans échec, fallait taper F8 ni trop ni trop tard).

Voici le rapport.

Par curiosité, j'ai fais tourner spybot, j'ai toujours à peu près le meme résultat que la dernière fois : AvenueA Inc et Doubleclick et Bluetread (je ne les ai pas supprimé cette fois).

Merci de ton aide.

[inviteeddfca99]

Re,
Désolé,
voici la pièce jointe : rapport d'AVG antispyware.
Merci, à plus.

[invite9bff601c]

Bonsoir,

normalment, spybot doit créer un rapport, peux-tu le poster ?

Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

NoteNe pas cliquer dans la fenêtre de combofix durant le passage de l'outils.


poste moi le rapport de spybot aussi

Bonne soirée

[inviteeddfca99]

Bonsoir,

voici les rapports :
Combofix,
Spybot et
HiJackThis.

Qu'en penses-tu?
Merci à toi,
à plus.

[invite9bff601c]

Bonsoir,

ça m'apprendra à pas chercher.

Ce que trouve Spybot, c'est des cookiers, rien de dangeureux, tu peux les supprimer en exécutant ATF-Cleaner comme dans la procédure.
Ils reviendront toujours puisque tu récupères des cookies à chaque fois que tu surfes.

---------------------------------------------------------------------------

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

Lis bien le dossier de prévention

Bonne soirée

[inviteeddfca99]

Bravo et merci !
Echec et mat en 7 coup si je compte bien?

C'est peut-etre plus compliqué et plus long, mais il serait vraiment très intéressant d'expliquer quelles sont vos clés de décision pour lire les différents rapports.
Y avait un truc comme ça où il vaut mieux apprendre à un gars comment pecher du poisson pour se débrouiller dans la vie (enfin un truc comme ça).

Encore merci.
Bravo au GAM!

[invite9bff601c]

Bonjour,

il n'y a pas de méthode particulière pour apprendre en faite, il faut se documenter sur les infections et sur les outils, puis apprendre à interpréter les logs générés.

Si tu veux apprendre tu peux commencer à lire et à comprendre comment marche Hijackthis en lisant ceci >> http://www.zebulon.fr/dossiers/56-an...ijackthis.html

Ce sera un bon début, ensuite si tu veux vraiment savoir comment désinfecter, je pourrais te donner plus de détails et de conseils.

Bonne journée