malwares - exécution procédure

[Romain-des-Bois]

Bonjour à tous,

je vous appelle à mon secours

C'est très simple, j'ai pas mal de bugs dont : ralentissement, affichage de pubs, affichage d'alertes de sécurité qui m'envoient vers des achats d'antivirus miracles, gros problème à google (quand on clique sur le résultat d'une recherche, on est envoyé vers des pubs qui n'ont rien à voir !)...

Bref, j'ai effectué le début de la procédure. Cleaner n'a pas améliorer les choses. J'avais fait un scan avec ewido, j'ai eu un peu du mieux, mais... bof.

Voilà les rapports d'hijack et diaghelp,

en espérant que vous pourrez m'aider

Surtout, ne vous inquiétez pas si vous n'avez pas une réponse rapide. Se connecter devient une véritable jungle !


merci

Romain
-----

[igor51]

Hello Romain !

Effectivement, tu es bien infecté.

On va faire plusieurs scans d'un coup pour que tu puisses accéder plus facilement à internet.

============================== ==============================

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~
Une grande partie de la procédure va se faire en mode sans échec, donc tu n'auras pus accès à Internet durant ce temps la.

~

Imprime ou copie/colle cette procédure dans un fichier bloc note car tu n'auras plus accès à Internet en mode sans échec. Pour cela :

• En haut du sujet, clique sur Outils de la discussion > Afficher une version imprimable
  
• Séléctionne la procédure en entier, et colle là dans un fichier texte
• Tu as ensuite le choix entre l'imprimer ou laisser le fichier texte tel quel

~

============================== ============================

Attention : Ton système ne dispose pas de Firewall, ce qui est très dangeureux ! Pour éviter de prendre une autre infection, il est indispensable que tu installes un firewall, je te conseille de choisir parmis les pare-feu suivants qui sont gratuits :

• Zone alarm
• kerio
• outpost
• Comodo Pro
• Jetico

Si tu ne sais pas configurer, tu trouveras ci-dessous des aides :

• Tutorial pour kerio
• Tutorial pour Zone Alarm
• Tutorial pour Outpost Free

Je vois que utilises le firewall de Windows Xp, installe en un nouveau lorsque tu seras en mode sans échec et désactive celui d'XP.

Je te fais installer un nouveau Firewall car tu dois avoir des programmes qui téléchargent d'autres fichiers infectieux, c'est donc pour éviter de te faire réinfecter tout de suite.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

• Double-clique VundoFix.exe afin de le lancer.
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau mais en mode sans échec
  

Pour ce faire, au redémarrage du PC, déroule la procédure ci-dessous

• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

---------------------------------------------------------------------------

Lance Hijackthis, choisis Do a scan only et coche les lignes suivantes :

Code:

O4 - HKLM\..\Run: [SManager] smanager.7.exe
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvfot.dll,startup
O4 - HKLM\..\Run: [smgr] smgr.exe
O4 - HKLM\..\Run: [j4251338] rundll32 C:\WINDOWS\system32\j4251338.dll soo
O4 - HKLM\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\qivpfhnv.dll",realse
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [System update] C:\DOCUME~1\Robert\LOCALS~1\Temp\3354.exe
O4 - HKCU\..\Run: [XP restart system] C:\DOCUME~1\Robert\LOCALS~1\Temp\wnset.exe

Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checked

--------------------------------------------------------------------------

Double-clique ATF-Cleaner.exe afin de lancer le programme.

• Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~


Ici, installe le nouveau firewall et désactive celui de XP

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

---------------------------------------------------------------------------

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

@ECHO OFF
dir %Windir%\tasks /a h > files.txt
notepad files.txt
del /q files.txt
exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : findjob.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier findjob.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

---------------------------------------------------------------------------

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

---------------------------------------------------------------------------

1. Fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, choisis extrait tout ou extraire ici
2. Cela va créer un dossier clean.
3. Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
4. Double-clique sur clean. Cela va ouvrir une fenêtre noire.
5. Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.

Clean va travailler.
Un rapport va etre généré, sauvegarde le sur ton Bureau
============================== ============================

Donc, dans ta prochaine réponse j'attends les rapports suivants :

-> le rapport de Vundofix
-> le rapport de SDFix
-> le fichier généré par findlop
-> le rapport de Smitfraudfix
-> le rapport de clean
-> un nouveau log Hijackthis

Normalement, tu devrais pouvoir te connecter plus facilement après cela, mais ce sera loin d'être terminé.

Bonne journée

[Romain-des-Bois]

Je te remercie

c'est grave docteur ?

Comme j'ai pas trop trop le temps, je vais faire les choses petit à petit... je posterai donc les rapports au fur et à mesure.


merci

Romain

[igor51]

Hello !

c'est grave docteur ?

Non pas spécialement, mais tu es bien infecté donc il faut y aller progressivement et faire attention à ne pas te réinfecter tout de suite

Bonne soirée

[A voir en vidéo sur Futura]

[Romain-des-Bois]

Bonjour bonjour !

Non pas spécialement, mais tu es bien infecté donc il faut y aller progressivement et faire attention à ne pas te réinfecter tout de suite

OK

Bon, j'y vais petit à petit :

j'ai exécuté VF, ATF Cleaner et Hijack en cochant ce que tu m'as dit de cocher

Voilà les rapports de VF et Hijack (en mode sans échec).

Premier bilan : j'ai du mieux une icone qui me disait que j'étais infecté et qui m'envoyait vers un site publicitaire pour antivirus payant (...) a disparu, et la connection à internet ne se fait plus automatiquement en démarrant windows !


A+ et encore merci


Romain

[Romain-des-Bois]

Ah zut, j'ai oublié les rapports !

[igor51]

Bonjour Romain,

Le rapport de Vundofix est bizarre...

Il faudrait que tu arrives à faire toute la partie en mode sans échec d'un coup, ce serait mieux....

L'élément qui faisait apparaitre l'icône est juste désactivé du démarrage, il est toujours présent sur ton PC, donc suit bien toute la procédure.

Bonne journée

[Romain-des-Bois]

Salut,

j'ai lancé VF en sans échec, il a supprimé tous les fichiers trouvés. Le rapport est donc vide

A propos de Firewall, tu dis que je n'en ai pas... Mais si, j'ai celui d'xp... Pas assez efficace ?

Je continuerai la proc plus tard


je te remercie

A+

Romain

[igor51]

Hello !

Non, il ne filtre pas les flux sortant et il y a des downloaders sur ton PC, il faut absolument les empécher de se connecter pour récupérer des fichiers infectieux.

Bonne soirée