malware envoyant sur upspiral + numérote

[invite95614bea]

bonjour,

j'ai une affreuse bete qui est passée à travers mes sécurités (Fsecure, ad-aware et spybot) et m'envoie si recherche google dans IE7 vers upspiral ou odlong. De plus, au démarrage, essaie de numéroter via un logiciel 0001 mais heureusement, je ne suis pas connecté directement au téléphone.

J'ai suivi la procédure de nettoyage indiquée, sauf rkunhooker qui ne fonctionne pas (error loking data file).

Merci de votre aide.

PS: le problème remonte à dimanche 18/06 ou lundi 19/06 (installation de sopcast et navigation dans les recherches de canaux pour voir le GP de F1............désolé!).

Merci d'avance.
-----

[invite95614bea]

ouf, en faisant une mise à jour d'ad-aware + scan complete au lieu de smart, la bete semble avoir été vaincue. merci quand même. et si vous pouvez m'indiquer comment attaquer les abominables qui diffusent ça, ce sera avec plaisir.

[invite9bff601c]

Bonjour doudou et Bienvenu sur Futura,

peux-tu refaire la procédure de pré-nettoyage pour que l'on s'assure que tout est bien parti ?

Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 5 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.

Poste bien le rapport de Diaghelp ainsi que celui de HijackThis dans ta prochaine réponse.

Bonne journée

[invite95614bea]

merci de vous interesser si vite à mon cas. fichiers attachés.

[A voir en vidéo sur Futura]

[invite9bff601c]

Bonjour,


tu es encore infecté, mais j'ai besion de quelque analyse en plus pour t'aider correctement.

Rend toi sur ce site http://www.virustotal.com/en/indexf.html

• Clique enhaut à droite sur Parcourir
• Navigue dans les dossier pour trouvé ce fichier : C:\WINDOWS\System32\~.exe
• Clique sur Send
• Le scan peut etre long à se lancer, donc soit patient
• A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte
• Poste ce fichier dans ta prochaine réponse

Attention : Assure toi de prendre le résultat du scan de ton fichier ( le nom du fichier apparaît en haut )

Recommence la même opération avec rtmisapi.exe ( fais une recherche au préalable sur ton système pour savoir où se situe précisément le fichier en question )

Poste moi les deux rapports générés

Bonne journée

[invite95614bea]

rtmisapi.exe pas trouvé sur mon systeme ni sur le web

rapport attaché

bonne après midi (canicule sur marseille)

[invite9bff601c]

Bonjour,

tu as oublié de me mettre le fichier

[invite95614bea]

oups!!!!! désolé

[invite9bff601c]

Re,

c'est beaucoup mieux avec le rapport

Aller on continue la désinfection :

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\System32\~.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse
--------------------------------------------------------------------------

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

---------------------------------------------------------------------------

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~


Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

---------------------------------------------------------------------------

Dans ta prochaine réponse, j'attends les rapports suivants :

-> Le rapport de OTmove It
-> Le rapport d'AVG-AS
-> Le rapport de SDFix
-> Un nouveau log HijackThis


Bonne journée

[invite95614bea]

ça se complique sérieux. fichier aspirine bientôt nécessaire lol.

bon, je lance le tout et je mets les fichiers nécessaires.

le premier, c'est pour l'apéro!

[invite9bff601c]

Re,

ne t'inquiète pas, c'est juste très détaillé, toi tu lances juste deux outils


Pour l'apéro, j'aurai préféré quelque chose de plus.....rafraichissant

[invite95614bea]

désolé mais avg a été très long (rapport joint) et j'ai un souci avec sdfix: pas de Y proposé!! il me propose 1 2 3 S et U et attaché le rapport avg, sachant que je n'ai pas pu continuer en mode sans échec après car écran large 16/9 = pas accès à sdfix sur la droite de l'écran!! je suis vraiment un blaireau de l'ordi!!!!!! J'ai choisi 2 au hasard parce que ça avait l'air joli!!!!! a tout à l'heure pour la suite de mes aventures.

[invite95614bea]

au fait, 300000 fichiers dans mon ordi, c'est pire comme b....l que mon bureau et mon garage réunis. je comprends mon ex femme!!!!

[invite95614bea]

ça y est sdfix inclus + hijackthis

ça roule????

merci d'avance.

moi, je craque, il fait 45 mini et l'ordi chauffe!!!!! vite une douche!

[invite9bff601c]

Bonsoir,

c'est bientot fini je te rassure un dernier scan pour vérification et je te lache, néanmois, peux-tu me poster le rapport de SDFix, il se nomme Report.txt et il se trouve dans le dossier SDFix.

Bonne soirée

PS je te donnerai les dernières instructions après avoir vu le rapport.

[invite95614bea]

ok. je cherche. arrrghhh, pas de report!!!! pas bien compris pourquoi. je vais réessayer un sdfix. merci de ta patience.

[invite9bff601c]

Normalement, il a du te "sauter" à la tête lors du redémarrage après le passage de SDFix.

[invite9bff601c]

Et je viens de voir qu'il manque aussi celui de AVG-AS qui lui doit être sur ton Bureau

[invite95614bea]

désolé mais pas de redémarrage, pas de Y dans sdfix, seulement ce que je t'ai dit. j'ai du rater une étape mais laquelle?? av ags, il me semblait que je l'avais envoyé en pièce jointe<??? je vérifie et je renvoie si besoin.

AVG ce n'est celui que j'ai envoyé tt à l'heure??? Là, je suis perdu!!!!

[invite95614bea]

après vérif, mon avg s'appelle report-scanxxxx.txt et mon sdfix s'appelle Nfixxxx c'est pas bon?????

[invite9bff601c]

Bonsoir,

on va se calmer et y aller tranquillement.

Pour AVG-AS : lorsque tu as fait le scan, à la fin de celui-ci, tu as du cliquer sur sauvegarder le rapport, puis tu as choisis un emplacement pour le conserver.

Assure toi d'avoir accès à tous les fichiers/Dossiers :

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Va voir ici : C:\Documents and Settings\ton nom de session\Application Data\Grisoft\AVG Antispyware 7.5\Reports

Il doit normalement y être.

Ensuite pour SDFix : Lorsque tu as téléchargé et exécuté le fichier, il crée un dossier ici C:\, tu l'ouvres et la, tu dois avoir un fichier nommé : Report

voila en image comment doit se présenter le dossier de SDFix



Bonne soirée

edit: pour avg-as oui, pas pour sdfix

[invite95614bea]

désolé mais pas comme décrit (upgrade récent? erreur manip??). plien de rdv boulot demain = pas accès ordi + fete de la musique demain soir avec plein groupes sympa de blues sur marseille donc pas ordi avant vendredi si tout va bien. merci encore de ta patience car pas évident à distance!!!! bonne nuit

[invite95614bea]

ouf, ça y est. c'est parce que j'avais fait sdfix en mode normal, pas sans echec. rapports joints. tu es un prince, igor!!(on a déjà du te la faire celle là!). je pars en rdv toute la journée et je regarderai en rentrant si tout va bien ou si tu trouvé un souci. merci pour tout. ps: ces enc.... de upspiral semblent sévir de partout (forums). pas moyen de les interdire??????

[invite9bff601c]

Bonjour doudou,

les interdire ? tu pourras, à la fin de notre désinfection, porter plainte contre eux.

On reprend la désinfection et on finit.

Lance Hijackthis, choisis Do a scan only et coche les lignes suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [c2stRXi6Q] rtmisapi.exe

Ferme toutes les fenêtres, sauf Hijackthis et clique sur Fix Checked

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Il risque d'être long comme scan, mais c'est pour bien vérifier qu'il ne reste plus rien.

Bonne journée

[invite95614bea]

bonjour igor.
j'ai fait comme décrit. rapport joint. j'espère que c'est ok maintenant.
encore mille fois merci.

[invite9bff601c]

Bonjour,

Oui je pense que la, on touche à la fin de la désinfection.

• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

   C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ISearchTechISTsvc.zip/

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

A la suite de le cela, as-tu encore des problèmes?

Si la réponse est négative, je te dirai comment porter plainte et te donnerai les conseils de prévention.

Bonne journée

[invite95614bea]

ok super. pour l'instant rien n'a l'air trop zarbi dans ma machine. rapport joint.

[invite9bff601c]

Re,

On supprime d'abord les traces de la désinfection :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

• Lance OTmoveIT.
• Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
  NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
• Une liste apparait dans la partie gauche d'OTmoveIT.
• Un message apparait pour confirmer le nettoyage. Confirme.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Maintenant que nous avons fini la désinfection, tu peux supprimer les outils que je t'ai fait télécharger. Pense à passer par Ajout/Suppression de programmes pour réaliser un désinstallation propre des logiciels. Lorsque l'outil n'a crée qu'un Dossier, supprime ce dossier ainsi que le fichier que tu as téléchargé.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autre Infection
Essaye de bien décrire ce que tu as eu

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

---------------------------------------------------------------------------


Bonne journée

[invite95614bea]

merci pour tout. juste une question technique: je fonctionne en wifi et un ami (ingénieur!!!) m'a dit que le firewall ne servit à rien en wifi. c'est vrai??? pour le reste, je ferai dès que possible (plainte, .....)

[invite95614bea]

désolé mais impossible de s'inscrire sur malware complaints, c'est incompréhensible pour un non professionnel et on se fait jeter à la fin!!!