Salut tout le monde,
Je suis de retour avec un nouveau malware mais cette fois ce n'est pas sur mon pc
Donc voila , cette fois il s'agit toujours de page popup incessantes proposant le téléchargement de Scan antivirus malware entre autre : ErrorSafe, System Doctor etc...
Un processus qui tourne me semble bizarre aussi : vavacfoi.exe
D'avance Merci
Bonjour raka,
Belle infection ! ....et on y va tous en coeur !
Avant toutes choses :
De plus le système n'a jamais été mise à jour. Lorsque tu auras terminé les manips prescrites ci dessous, rends toi sur Windows Update et fais les mises à jour critiques/de sécurité (SP1 minimum!). Sinon...ca va être sans fin....Attention : Ton système ne dispose pas de Firewall, ce qui est très dangeureux ! Pour éviter de prendre une autre infection, il est indispensable que tu installes un firewall, je te conseille de choisir parmis les pare-feu suivants qui sont gratuits :Si tu ne sais pas configurer, tu trouveras ci-dessous des aides :
~~~~~~
Fais Ctrl-Alt-Suppr et Termine le processus suivant : vavacfoi.exe
1. Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegarde-le sur ton Bureau.
Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse
2. Télécharge VundoFix.exe (par Atribune) sur ton Bureau.Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"
- Double-clique VundoFix.exe afin de le lancer.
- Clique sur le bouton Scan for Vundo.
- Lorsque le scan est complété, clique sur le bouton Remove Vundo.
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
- Démarre ton PC à nouveau.
- Poste le rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
3. Refais un rapport Diaghelp option 1.
Poste moi les rapports de rustbfix, Vundofix, le nouveau Diaghelp option 1 et un nouveau rapport Hijackthis.
Bonne journée
Cyrrus
Voila les 3 logs
Merci
Bonjour raka,
Il me manque des rapports :
-> celui de Vundofix
-> le nouveau Diaghelp
C'est important que tu me les postes car je ne peux pas te diriger à l'aveuglette...
Tu n'as pas mis ton Windows à jour...il le faut pourtant.
Poste moi le rapport de Vundofix, le rapport de Combofix, un nouveau rapport Hijackthis, et le rapport de Diaghelp (si tu ne l'as pas encore fait, fais le après Combofix, sinon tant pis).Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.
NoteNe pas cliquer dans la fenêtre de combofix durant le passage de l'outils.
Cyrrus
Voici, désolé en fait je pensais qu'il faillait te mettre les fichiers étape après étape.
J'ai juste un soucis quand je fais le scan avec hijackthis, il se coupe sans cesse, il me faut donc un coup de bol pour que le scan s'effectue convenablement. Je ne suis donc pas sur qu'il soit fait convenablement
Merci bien
Bonsoir raka,
Télécharge le fichier en pièces jointes. Assure toi qu'il se nomme bien ComboFix-Do.txt
Fais un glisser-déposer de ce fichier sur l'icone de Combofix (comme si tu voulais mettre un fichier dans un dossier).
Combofix va se lancer, un rapport va être créé, sauvegarde le et poste le dans ta prochaine réponse.Télécharge cet outil : Win32DelfKill
Double clique dessus, cela va créé un dossier, avec à l'intérieur le fichier fix.bat. Execute ce fichier.
Ton ordinateur va redémarrer automatiquement, c'est normal.
Un rapport sera créé ici : c\windelf.txt > Poste le dans ta prochaine réponse.
Refais un scan avec Diaghelp option 1, ainsi qu'un scan avec Hijackthis.
Poste moi en pièces jointes les rapports de Combofix, Win32delfkill, Diaghelp et Hijackthis.
Bonne soirée
Cyrrus
Voici les nouveau log ... dsl pour le retard
encore merci
Bonjour raka,
Ne t'excuse pas, tu poste ici quand tu veux/peux.
Ca progresse bien, mais ce n'est pas encore terminé.
1. Télécharge OTMoveIt de OldTimer.Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.
- Sauvegarde le sur ton Bureau.
- Double-Clique sur OTMoveIt.exe pour le lancer.
- Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
Code:C:\WINDOWS\fgredsds.exe C:\WINDOWS\htrrgrtgrgewfer.exe C:\WINDOWS\g8192890.exe C:\WINDOWS\g6990500.exe C:\WINDOWS\g5668968.exe C:\WINDOWS\g4348843.exe C:\WINDOWS\g3029140.exe C:\WINDOWS\g1708328.exe C:\WINDOWS\g506234.exe C:\WINDOWS\g172486765.exe C:\WINDOWS\g171166593.exe C:\WINDOWS\g169846312.exe C:\WINDOWS\g168526156.exe C:\WINDOWS\g167205984.exe C:\WINDOWS\g165885812.exe C:\WINDOWS\g164685359.exe C:\WINDOWS\g163365171.exe C:\WINDOWS\g162045000.exe C:\WINDOWS\g160724843.exe C:\WINDOWS\g159404656.exe C:\WINDOWS\g158204203.exe C:\WINDOWS\g156884031.exe C:\WINDOWS\g155563859.exe C:\WINDOWS\g154243687.exe C:\WINDOWS\g152923515.exe C:\WINDOWS\g151603343.exe C:\WINDOWS\g150402921.exe C:\WINDOWS\g149082718.exe C:\WINDOWS\g147762593.exe C:\WINDOWS\g146442375.exe C:\WINDOWS\g145122203.exe C:\WINDOWS\g143921750.exe C:\WINDOWS\g142601578.exe C:\WINDOWS\g141281406.exe C:\WINDOWS\g139961250.exe C:\WINDOWS\g138641062.exe C:\WINDOWS\g137321125.exe C:\WINDOWS\g136120421.exe C:\WINDOWS\g134800234.exe C:\WINDOWS\g133480078.exe C:\WINDOWS\g132159890.exe C:\WINDOWS\g130839734.exe C:\WINDOWS\g129638312.exe C:\WINDOWS\g128318140.exe C:\WINDOWS\g126997968.exe C:\WINDOWS\g125677796.exe C:\WINDOWS\g124357609.exe C:\WINDOWS\g123037437.exe C:\WINDOWS\g121837062.exe C:\WINDOWS\g120516734.exe C:\WINDOWS\g119196578.exe C:\WINDOWS\g117879515.exe C:\WINDOWS\g116556031.exe C:\WINDOWS\g115355531.exe C:\WINDOWS\g114035406.exe C:\WINDOWS\g112715156.exe C:\WINDOWS\g111394984.exe C:\WINDOWS\g110194781.exe C:\WINDOWS\g108874609.exe C:\WINDOWS\g107674140.exe C:\WINDOWS\g106353859.exe C:\WINDOWS\g105033671.exe C:\WINDOWS\g103713500.exe C:\WINDOWS\g102515328.exe C:\WINDOWS\g101311906.exe C:\WINDOWS\g100111390.exe C:\WINDOWS\g98791218.exe C:\WINDOWS\g97471046.exe C:\WINDOWS\g96150875.exe C:\WINDOWS\g94830718.exe C:\WINDOWS\g93630265.exe C:\WINDOWS\g92310093.exe C:\WINDOWS\g90989359.exe C:\WINDOWS\g89789156.exe C:\WINDOWS\g88588906.exe C:\WINDOWS\g87268812.exe C:\WINDOWS\g144109.exe C:\WINDOWS\hsdegrtyt.exe C:\WINDOWS\grehgtryhrd.exe C:\WINDOWS\jhgedfrgre.exe C:\WINDOWS\fwremkltgr.exe C:\WINDOWS\rhtrhjhtregr.exe C:\WINDOWS\g534041937.exe C:\WINDOWS\System32\d4xofa.dll C:\WINDOWS\System32\mcrh.tmp- Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
- Clique sur le boutton rouge Moveit!.
- Ferme OTMoveIt
Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse
2. Lance Hijackthis, clique sur Do a system scan only, et coche les lignes suivantes :
Clique sur Fix Checked.Code:O2 - BHO: (no name) - {0DD28E9C-3A11-446F-964C-830A42D59287} - C:\WINDOWS\System32\mljgd.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {A8480F31-3135-4EC4-993E-3647845D40Db} - C:\WINDOWS\System32\itmvyhha.dll (file missing) O2 - BHO: (no name) - {D1159422-16E3-462F-A93D-FB718E100408} - C:\WINDOWS\System32\d3dxim.dll (file missing)
3. Relance Vundofix comme expliqué plus haut, sauvegarde son rapport.
4.Poste moi le rapport de OTMoveit et de Panda Antirootkit, le nouveau rapport de Vundofix et un nouveau log hijackthis.Télécharge Panda Antirootkit.
- Décompresse l'archive sur ton Bureau.
- Double clique sur PAVARK.exe pour lancer l'application.
- Clique sur Accept, puis sur Start Scan.
- Une fois le scan terminé, clique sur Advanced Report, puis sur Export CSV. Pense à renommer le fichier .cvs en .txt pour que le forum ll'accepte.
Ferme l'application et poste ton rapport dans ta prochaine réponse.
Bonne journée
Cyrrus
Voila tous les logs
Re,
Il manque le rapport de Panda. Poste le stp.
Bon, on y arrive, patience ! Ou en sont les symptômes ?
1. Refait la manip OTMoveit avec ces fichiers :
2.Code:C:\WINDOWS\System32\yqfrgkyu.exe C:\WINDOWS\System32\cdwurbqq.exe C:\WINDOWS\System32\iwtflumd.ini C:\WINDOWS\System32\kvjvqgly.exe C:\WINDOWS\System32\uslyvxcs.exe C:\WINDOWS\System32\dyljmjfq.ini C:\WINDOWS\System32\xvspgmfk.exe C:\WINDOWS\System32\vavacfoi.exe C:\WINDOWS\System32\pkfmbawm.exe C:\WINDOWS\System32\wudb.dll C:\WINDOWS\System32\xggrsfru.ini C:\WINDOWS\System32\guoamtpc.ini C:\WINDOWS\System32\xtyyrumc.ini C:\WINDOWS\g18527296.exe C:\WINDOWS\g1713390.exe C:\WINDOWS\g991500.exe
Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !
Étape 3:
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme. Redémarre ton PC en mode Normal. Poste le rapport que tu as sauvegardé dans ta prochaine réponse.
Poste moi donc les rapports de eScan, OTMoveit (le nouveau), et Panda (que tu as oublié).
Cyrrus
Justement pour le rapport panda j'ai beau eu regarder il n'avait pas de "advance report" nin même quelque chose qui puisse faire penser à un log. Je continue avec les étapes suivantes.
A toute à l'heure
Ah...te souviens tu s'il t'avais trouvé quelque chose ? Continue en effet.Justement pour le rapport panda j'ai beau eu regarder il n'avait pas de "advance report" nin même quelque chose qui puisse faire penser à un log. Je continue avec les étapes suivantes.
Voila
Pour le rapport Panda il ne m'a rien détecté de ce que je me souviens
Bonjour raka,
On arrive au bout. Relance otmoveit et clique sur Clean Log. Supprime le dossier de Diaghelp.
Copie/colle ce qui suit dans un fichier bloc/notes :Et voila, un nouveau point de restauration qui est a priori propre
- Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
- Coche la case "Désactiver le système de restauration..."
- Décoche la case "Désactiver le système de restauration..."
Enregistre le sous check.bat, et double clique dessus. Une fenêtre va s'ouvrir et se ferme rapidement, c'est normal.Code:@echo off cd C:\Windows dir > C:\filew.txt cd C:\Windows\system32 dir > C:\filews.txt
Poste moi les deux fichiers créés : C:\filew.txt et C:\filews.txt en pièces jointes.
Bonne journée
Cyrrus
Voila,
En fait à quoi sert la dernière manipulation ? Ca m'intéresse
Bonjour raka,
C'est un petit script qui liste les fichiers des dossiers Windows et system32.En fait à quoi sert la dernière manipulation ?
Cela me permet de vérifier s'il ne reste plus de fichier infectieux. Il en reste justement deux :
Supprime donc les fichiers :
C:\Windows\g141859.exe
C:\Windows\g96643265.exe
Normalement il ne devrait pas opposer de résistance. Si tu ne les vois pas pense à afficher les fichiers/dossiers cachés :
- Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
- Cocher la case : Afficher les fichiers et dossiers cachés
- Décocher la case : Masquer les extensions des fichiers dont le type est connu
- Décocher la case : Masquer les fichiers protégés du système d'exploitation
- cliquer sur "Appliquer"
- cliquer sur le bouton "Appliquer à tous les dossiers" / OK
S'il résiste donne moi le message d'erreur que Windows te donnera.
Bon DimancheLis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.
Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.
Cyrrus
