infecté?

[invitebfff21ef]

Bonjour,
J'ai souvent des fenêtres intempestive qui s'ouvrent et mon ordinateur est ralenti.

J'utilise depuis peu Ad-aware et spybot. Avec ce dernier j'obtiens une liste dans laquelle un élément ne peut être supprimé.

Dernièrement windows démarrait systématiquement avec deux large bande rayé, un carré à la place de la souris et les fenêtres qui se dupliquaient un peu partout. J'ai fait un grand nettoyage et depuis c'est réglé.

J'ai suivis les premiers gestes à faire contre les malwares mais j'ai pas pû démarrer Rootkit Unhooker; le message d'erreur est: "error loading data file".

PS: je n'ai pas d'icône "gérer les pièces jointes" sur ma page
-----

[JPL]

Il était marqué dans le sous-titre que la partie concernant les rootkits ne devait être faite que sur demande : poste donc tous les autres rapports obtenus en pièces jointes.

[invitebfff21ef]

Ok mais j'ai pas d'icone pièce comment je fais?

[invitedc39434f]

essai de changer de navigateur.j'ai eu le mm soucis je pouvais mettre les pièces jointes j'étais sous FireFox je suis passée à OPERA et c'était bon

[A voir en vidéo sur Futura]

[JPL]

Pour voir l'icône des pièces jointes (le trombone) il faut être en mode avancé. Le plus simple pour cela étant de cliquer sur le bouton Répondre en haut ou en bas de la page à gauche. Si le problème subsiste vide le cache de ton navigateur et recommence. cela règle miraculeusement divers petits problèmes de ce type.

[invitebfff21ef]

Ok, ça marche en vidant le cache comme en changeant de navigateur.
Voilà les scan diaghelp et hijackthis en pièces jointe

[invite275db609]

Bonjour santikaf et bienvenue sur Futura-Sciences

Tu as utilisé la version 2.0 BETA d'hijackthis, or, comme son nom l'indique, il s'agit d'une version BETA, donc non finalisée, nous ne l'utilisons donc pas actuellement. Peux-tu refaire une rapport hijack avec la version 1.99.1 prescrite dans la procédure ?

Tu es effectivement infecté, notemment par Vundo/virtumonde.

Voila ce que l'on va faire :

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
• Clique sur le bouton Scan for Vundo
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
• Poste le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse, en pièce jointe.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

===================

• Télécharge clean de Malekal_Morte, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
  
• Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître.
• Choisis l'option 1 et appuie sur Entrée pour valider.
• Poste le rapport (en piece jointe) qui apparait dans ta prochaine réponse.

===================

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

=================

Poste moi les rapports suivants : VundoFix, Clean option2, KaspeskyOnline et un rapport hijackthis avec la version 1.99.1 ...

Bonne fin de journée

[invitebfff21ef]

Ok, c'est bien le virus qui voulait pas partir avec spybot.
Arès le redémarrage suite à vundofix le bureau apparait comme en 16/9 et il est déroulant vu que je ne vois pas les extrémités en horizontal et vertical.
Est-ce un virus?
Voici les rapport

[invitebfff21ef]

et le rapport hijackthis

[invite275db609]

Reu

Beau boulot, mais on a encore pas mal de travail, allez, on enchaine

• Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître.
• Choisis l'option 2 et appuie sur Entrée pour valider.
• Poste le rapport (en piece jointe) qui apparait dans ta prochaine réponse.

==============

Clique sur Démarrer --> Exécuter --> Saisie ensuite ce qui suit :

Code:

SC delete ntsys

Valide en cliquant sur Ok.

Recommence l'opération avec :

Code:

SC delete KLBLMain

Code:

SC delete iPod Service

==============

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - (no file)
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.d ll (file missing)
O2 - BHO: (no name) - {3E095134-9DD5-4980-9BC2-9C7BEC477A83} - C:\WINDOWS\system32\mljjg.dll (file missing)
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C1FB-F86DA487AF38} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {D1078855-4689-43AA-9C60-38E8D77EFDF3} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-C1FB-F86DA487AF38} - (no file)
O4 - HKLM\..\Run: [Nt System Kernel] ntsyskrnl.exe
O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: MP3Chansons - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\Sko\Application Data\MP3Chansons.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O23 - Service: DomainService - - C:\WINDOWS\system32\gjttngjl.e xe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: Nt System Kernel (ntsys) - Smart Link - (no file)

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

=============

• Télécharge OTMoveIt de OldTimer.
• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

Code:

C:\WINDOWS\system32\gjttngjl.exe
C:\Documents and Settings\Sko\Mes documents\Données variées\Télécharg-netTransport\Reggae radio\tempo\europages_toolbar_fr.exe
C:\Documents and Settings\Sko\Mes documents\installations\téléchargements\Guitar Pro 5.5
C:\Documents and Settings\Sko\Mes documents\Téléchargements mozilla\SystemDoctor2006FreeInstall_fr.exe
C:\WINDOWS\system32\kvckmgte.exe
C:\windows\system32\ntsyskrnl.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le bouton rouge Moveit!.
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles, en pièce jointe.

============

• Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
• Double clique combofix.exe et suis les invites.
• Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport en pièce jointe dans ta prochaine réponse.

============

Poste les rapport suivants :
clean option2, OTmoveIT, combofix, et un nouveau hijackthis stp.

Bonne soirée/nuitée de la musique

[invitebfff21ef]

Bonjour à tous.
Après la musique fêtée comme il se doit on se remet au boulot!

Voici les rapport demandé.
cependant en scannant avec hijackthis je n'ai pas retrouvé les lignes suivantes:
-----------------------------------------------------------------------------
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: Nt System Kernel (ntsys) - Smart Link - (no file)
-----------------------------------------------------------------------------
je n'ai donc pas pû les cocher.

[invitebfff21ef]

et hijackthis

[invite275db609]

Bonsoir

Clique-droit sur ton bureau et crée un nouveau fichier texte.
Dans celui-ci, copie/colle ce qui suit /!\ Attention, pas de ligne vierge devant regedit4 /!\ :

Code:

REGEDIT4

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Error Safe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Nt System Kernel"=-

Assure toi que Retour à la ligne automatique ne soit pas coché.
Sauvegarde le fichier sur ton bureau, en prenant soin de sélectionner Tous types de fichiers, en le nommant fixme.reg
Double-clique sur fixme.reg et accepte la fusion avec le registre.
Une fois cela fait, tu peux supprimer le fichier fixme.reg

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi le rapport Kaspersky, ainsi qu'un nouveau rapport hijackthis.

Bonne soirée

[invitebfff21ef]

Bonjour,

Voici les rapports

[invite275db609]

Bonjour

Pris dans la desinfection, je n'y avais pas fait attention, mais tu n'as pas de firewall, c'est la 1ere des protections pour sécuriser un peu sa machine, c'est indispensable ...
Le parefeu windows ne bloque QUE LES ENTREES, il ne bloque aucune sortie, ce qui fait que lorsque l'on est infecté, toutes les infos récupérées par les éditeurs de malwares peuvent sortir en douce sans que tu ne les apercoives, ce qui n'est pas le cas des parefeux suivants, qui bloque les entrées ET les sorties.

Tu DOIS ABSOLUMENT installer un FIREWALL, en voila 4, gratuits et performants :
Zone alarm, parefeu gratuit et performant :

• Téléchargement de ZoneAlarm : http://www.zonelabs.com/store/conten...&ctry=&lang=fr
• Tutorial de configuration : http://speedweb1.free.fr/frames2.php?page=tuto1

Kerio Personnal Firewall très bon et gratuit aussi :

• Téléchargement de Kerio : http://telechargement.zebulon.fr/license-1-82.html
• Tutorial de configuration : http://www.vulgarisation-informatique.com/kerio.php

Jetico, que je n'ai pas testé mais dont j'ai eu de très bons échos :

• Téléchargement de Jetico : http://www.jetico.com/download.htm
• Tutorial de configuration : http://www.malekal.com/tutorial_JeticoFirewall.php

Outpost

• Téléchargement d'Outpost : http://www.agnitum.com/products/outp...e/download.php
• Tutorial de configuration : http://c.rosu.free.fr/Conf_outpost.htm

======================

Désinstalle Norton completement, il y'a des restes : http://service1.symantec.com/SUPPORT...50414110429924

==================

Lance OTmoveIT comme demandé précédemment, et copie/colle la liste ci-dessous :

Code:

C:\Documents and Settings\Sko\Mes documents\Install Reason.exe
C:\VundoFix Backups

====================

Un mot sur le service de Boonty Games.
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe de Boonty Games.

Il ne s'agit pas d'une infection. Conformément aux conditions générales d'utilisation définies que tu peux trouver sur leur site et que tu as acceptée lors du téléchargement d'un jeu (cf ici par exemple pour une traduction google et la visualisation de la page originale) le service Boonty, à l'image de la BoontyBox, collecte des informations te concernant (configuration, téléchargements effectués, toutes informations strictement personnelles que tu aurais fournies de toi même par un formulaire d'enregistrement ou d'inscription à un jeu concours, etc, à des fins d'amélioration du service strictement dit, et se réserve le droit de fournir à des tiers (références de jeu, âge, genre, endroit géographique, éducation, métier, matériel informatique et en ligne et intérêts de jeu vidéo, activités et achats, mais pas nom ou information de contact) comme les producteurs de jeu pour leur recherche de marché.

Je te conseille donc de le supprimer (avec mon aide si tu le souhaites), mais sache qu'il réapparaitra après chaque téléchargement de ces petits jeux que tu effectueras.
Merci Gof pour le canned

========================

Poste moi le rapport d'OTmoveIT.

As-tu encore des dysfonctionnements ?

Bonne journée

[invitebfff21ef]

Bonsoir,
non, je n'ai plus de disfonctionnement. Un peu de lenteur sur le net mais c'est tout.
merci.

Concernant Bounty Games je veux le supprimer. Que dois-je faire?

Sur le rapport kaspersky en ligne il donnait 23 virus présents. En est-ce vraiment?

Bonne soirée.

[invite275db609]

Bonjour

Pour répondre à ta derniere question, les fichiers détectés se trouvent dans la restauration systeme, on va s'en occuper à la fin de la désinfection, c'est à dire très bientot.

Pour boonty :

• Cliques sur Démarrer --> Exécuter
• Saisis : Services.msc puis OK
• Choisir le mode "Etendu" (onglets inférieurs)
• Grâce à la barre de défilement (à droite) rechercher le service suivant:

Code:

Boonty Games

• Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).
• Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,
  puis déroule le Type de Démarrage pour le modifier en Désactivé
• Clique sur Appliquer puis OK

• Lance Hijackthis, choisir Open the Misc.Tools section
  la fenêtre "Configuration" va s'ouvrir
• Clique sur Delete a NT service...
  la fenêtre "Delete a Windows NT service" va s'ouvrir
• Entre dans la zone de dialogue :
  BOONTY
  Note : assures-toi de ne mettre d'espace, ni avant, ni après !
• Cliquer OK
• Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.
  Clique NO

===========================

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

==========================

Désinsalle/supprime tout ce que je t'ai fait téléchargé (sauf bien sur le firewall), tu peux aussi garder ATF-Cleaner.

==========================

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

============================== =

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Types
Ton infection était Vundo/Virtumonde

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne fin de journée

[invitebfff21ef]

Bonsoir,

Aujourd'hui j'ai retrouvé les vrai capacité de mon PC.
Le dossier de prévention m'à bien renseigné mais j'ai tout de même quelques questions.

J'utilise Ad-Aware et Spybot comme antispyware, détectent-t-ils tous types d'indésirables comme le fait AVG Anti-Spyware?
Sont-ils complémentaires?
Avast! le fait-il aussi?
Losque j'utilise Ad-Aware et Spybot est-ce que je doit systématiquement supprimer toutes les menaces trouvées?
Est-ce que je ne risque pas d'endommager le registre?
Peut-on se former à l'utilisation des programmes qui nous ont servi tout au long de la désinfection, savoir lesquels choisir?
Quel est le but de OTMoveIt? Je retrouve des traces de trojans avec kaspersky en ligne.


Merci beaucoup pour votre aide.

[invite275db609]

Bonjour santikaf

Les traces trouvés sont dans la quarantaine d'OTmoveIT, donc non actifs ... OTmoveIT sert à déplacer les fichiers néfastes.

AVG-AS detecte beaucoup plus de malware que spybot et adaware... mais ils sont complémentaires.
Avast est un antivirus, pas un antispyware/malware ....
Oui, supprime tout avec spybot et adaware, les faux positifs sont rares...

Supprime tous les programmes que l'on a utilisé pour la désinfection, ils sont spécifiques à certains types d'infections...

Supprime C:\_OTMoveIt, ainsi que tout le reste que je t'ai fait télécharger, tu ne devrais plus avoir de détection par Kaspersky.

Bonne journée

[JPL]

Réponse partielle.

Garde Spybot et utilise sa fonction de vaccination (après mise à jour de la base de données) une fois par mois (SpywareBlaster utilise le même principe mais les deux sont complémentaires). Comme il s'agit seulement de verrouiller des clés de la base de registre cela ne charge en rien la mémoire centrale.
Utilise aussi la fonction TeaTimer de Spybot : elle t'avertira de toute tentative de modification de la base de registre. Les tentatives qui se produisent en dehors de l'installation d'un programme par toi sont des tentatives d'infection que tu pourras refuser. Tu ne risque en aucun cas d'abîmer la base de registre avec ces outils.
Dans ces conditions AdAware n'est pas nécessaire.
AVG Antispyware est un outil remarquable car il possède je pense une base de données de malwares bien plus étendue que celle de Spybot ou AdAware. Pendant la période d'essai il détecte en temps réel de nombreux malwares qui tentent de s'introduire "à l'insu de ton plein gré". Après cette période d'essai il ne fait plus de détection en temps réel, sauf si tu l'achètes, mais il permet toujours de scanner ton disque. Personnellement j'ai pensé que c'était un bon investissement de l'acheter. C'est un bon complément à un antivirus car si les deux types de programmes se recoupent sur bien des points, ils ne ciblent pas exactement les mêmes menaces.