Spyware-secure Et Autres Non-desirables

[inviteee807b26]

Salut,

L'ordinateur familial est infesté par les fameuses fenetres spyware-secure, et autres s***peries, et nous en ignorons la source.

Aussi, nous avons joint le compte-rendu fixnavi du logiciel navilog1 pour qu'il soit analysé par vos bons soins puisqu'on y comprend rien.

Merci d'avance !

La famille Plumrage


P.-S.: J'ai cru comprendre que la "manip" devenait recurrente voire banale, ça ne vous agace pas de controler le compte-tenu des machines d'autres personnes ? N'y-a-t-il pas une autre alternative (automatique) qui est en cours d'élaboration ???


-----

[invitebf5cd8b2]

Hello,

Bienvenue sur Futura.

Evite de lancer les fixs que tu ne connais pas. Je comprend que là c'est pas compliqué de trouvé le bon mais en général il vaut mieux éviter sauf si on est sur.

'ai cru comprendre que la "manip" devenait recurrente voire banale, ça ne vous agace pas de controler le compte-tenu des machines d'autres personnes ? N'y-a-t-il pas une autre alternative (automatique) qui est en cours d'élaboration ???

Nop. Chaque infection est différente, même si certaines se ressemble beaucoup, d'où le besoin de l'oeil humain.

Avant toute choses :

Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 5 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.

Poste les deux rapports demandés.

~~~~~~~~~~
Double clique sur le raccourci Navilog1 présent sur le Bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC.
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuie sur une touche comme demandé.

(si ton Pc ne redémarre pas automatiquement, fais le toi même)

Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver. ( sur ton Bureau par exemple )
Referme le blocnote. Ton bureau va réapparaitre.

Note : Si ton bureau ne réapparait pas, déroule les instructions suivantes:

1. Fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
2. Rends-toi à l'onglet "processus".
3. Clique en haut à gauche sur fichiers et choisis "exécuter"
4. Tape explorer et valide. Celà te fera apparaitre ton bureau.

Poste le rapport en pièce jointe dans ta prochaine réponse.

En toute logique cette dernière manip devrait supprimer les symptômes, mais s'il te plait envoie moi quand même les rapports demandés, à titre de vérification.

Bonne soirée
Cyrrus

[inviteee807b26]

Bonjour-bonjour,

Comme convenu, nous n'avons pas lancé la "manip" en attendant que vous puissiez controler les deux rapports suivants de la procédure préliminaire.

Plusieurs questions :

- Après cela, dois-je supprimer les rapports que nous avons joint à ces messages ?
- Par rapport à l'étape 3 de la procédure, le pg ne nous a pas demandé de rebooter la machine, le rapport .txt s'est affiché et après l'enregistrement, tout le monde est parti !?
- Nous nous attendions pas à une réponse aussi rapide, et aussi tardive. Vous êtes des bénévoles ? Ou quelque chose du genre ?

Dans l'attente, merci d'avance.

La famille Plumrage

[invitebf5cd8b2]

Bonjour Famille Plumrage,

Après cela, dois-je supprimer les rapports que nous avons joint à ces messages ?

Euh...oui, puisque tu les as postés ici. En général on fait faire le méage une fois la désinfection terminé. Il vaut donc mieux attendre, ce ne sont que de simple fichier texte, mais parfois certains outils en ont besoin, ou vérifie leurs présence pour se lancer (afin d'éviter que des apprentis sorciers ne se flingue leurs pc en lancant directemet le nettoyage).

Par rapport à l'étape 3 de la procédure, le pg ne nous a pas demandé de rebooter la machine, le rapport .txt s'est affiché et après l'enregistrement, tout le monde est parti !?

Ah ? ...peut etre que l'outil a évolué..en tout cas le rapport est complet. Je demanderai au dev son avis.

Nous nous attendions pas à une réponse aussi rapide, et aussi tardive

C'est contradictoire cette phrase

Vous êtes des bénévoles ? Ou quelque chose du genre ?

En effet. Nous sommes bénévoles, tout comme l'ensemble des membres de ce site (admin, modérateur etc..).

Assez parlé, let's get it started

~~~~~~~~~~~~~~
1. Effectue l'option 2 de Navilog. Les instructions sont dans mon précédent message.

2. Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Code:

c:\Documents and Settings\Maman\Mes documents\Mes images\spywarsecure-setup.exe

Apparemment un des membres de votre famille a installé le dit logiciel. A l'avenir il faut etre plus prudent, et ne pas se laisser embobiner

Poste moi les rapports de Fixnavilog et avg-as en pièces jointes.

Bonne journée
Cyrrus
PS : Ah une chose importante aussi :

Code:

Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Ton Windows n'est pas à jour, une fois ces manips finies, va sur Windows Update, c'est très important.

[A voir en vidéo sur Futura]

[inviteee807b26]

Bonsoir-bonsoir,

Comme demandé, voici les rapports après procédure. Il semblerait que ce soit le calme plat...

D’autres questions :

- Alors de spyboot, Avg, Spyware Doctor lequel choisir ?
- Nous avons par le passé été de grands téléchargeurs de mise à jour Windows, et de ces jolis pack qui - à l’époque- nous ont causé de grands soucis (jusqu’à l’armagueddon), aussi nous nous sommes abstenus, mais si vous dites que le besoin s’en fait présentir... Alors ?


Nous ne savons comment vous remercier pour le temps passé à nous aider, aussi c’est modestement que nous vous offrons ce kotowaza (諺, proverbe japonais) :

一期一会 (prononcez : « itchi go itchi é »)

Il se traduit par : “ une occasion, une rencontre » ; il a plusieurs lectures possibles. La nôtre pour vous, c’est d’avoir su saisir l’occasion de ce forum pour faire votre honorable rencontre, merci encore.

La famille Plumrage

[invitebf5cd8b2]

Bonjour à tous,

Le rapport de fixnavilog se nommant Vundofix....c'est un peu bizarre. En tout cas cette outil (Vundofix) ne devrait pas te servir. T'en es tu servis ? T'as t-il trouvé quelque chose ?

Un des fichiers trouvés par AVG m'embête, je vais vérifier :

Copie/colle ceci dans un fichier texte (BlocNotes) :

Code:

@echo off
cd C:\WINDOWS
dir > C:\check.txt

Enregistre le sous check.bat et double clique dessus. Une fenêtre va s'ouvrir/se fermer rapidement, c'est normal.

Poste moi le fichier C:\check.txt

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi le rapport de Kaspersky.

~~~~~~~~~~~~

Alors de spyboot, Avg, Spyware Doctor lequel choisir ?

Garde spybot pour la vaccination (voir ici) et AVG pour le scan hebdomdaire/mensuel (comme tu préfères). Au bout de 14 jours la mise à jour auto et le bouclier de prévention se désactiveront, mais tu pourras toujours mettre à jour via le programme et scanner sans problème.

Nous avons par le passé été de grands téléchargeurs de mise à jour Windows, et de ces jolis pack qui - à l’époque- nous ont causé de grands soucis (jusqu’à l’armagueddon), aussi nous nous sommes abstenus, mais si vous dites que le besoin s’en fait présentir... Alors ?

L'important est les mises à jour de sécurité. Mettre au minimum le SP1 avec tous les correctifs. Pour ce qui est de "l'armaguedon" ne serait ce pas due au passage au sp2 ? (je me souviens que mon ordi avait planté à cause d'une incompatibilité sp2/un périphérique).

Nous ne savons comment vous remercier pour le temps passé à nous aider, aussi c’est modestement que nous vous offrons ce kotowaza (諺, proverbe japonais) :

一期一会 (prononcez : « itchi go itchi é »)

Il se traduit par : “ une occasion, une rencontre » ; il a plusieurs lectures possibles. La nôtre pour vous, c’est d’avoir su saisir l’occasion de ce forum pour faire votre honorable rencontre, merci encore.

La meilleure façon de me remercier reste de proteger correctement son ordinateur (je te donnerai un lien pour çà une fois la désinfection terminée), et surtout d'avoir une attitude prudente sur le net

Merci pour le kotowaza, et de rien

Bonne journée
Cyrrus

[inviteee807b26]

Bonsoir bonsoir,

Désolé pour le délai entre votre réponse et la nôtre, mais vous savez les vacances... ca n'attends pas !

Bref, voici le fichier texte issu de la manip .bat.

Pour ce qui de kaspersky, le site ne donne pas de réponse lorsque nous cliquons sur "j'accepte". (et que ce soit sur Mozilla ou Internet Explorer)

Et vous, vous n'êtes jamais en vacances ???

La famille Plumrage

[invite9bff601c]

Bonsoir Plumrage,

et si, on prend des vacances, d'ailleurs Cyrrus est justement parti, donc je vais prendre le relais.

Voila ce tu vas faire, c'est un peu long, mais très efficace

Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme. Redémarre ton PC en mode Normal. Poste le rapport que tu as sauvegardé dans ta prochaine réponse.

Bonne soirée

[inviteee807b26]

Bonsoir,

Voici le fichier texte issu du scan après Kaspersky.

Alors verdict ? C'est la fin des haricots ? ?

Bonne soirée

La famille Plumrage

[invite9bff601c]

Bonjour,

la fin des haricots je ne pense pas, mais la fin de la désinfection, je serai plus pour

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\Documents and Settings\Maman\Favoris\broderies\sites russes et chinois\misie - Zwierzeta - Pozostale - Fotosik.pl.url
  C:\Documents and Settings\Propriétaire\Mes documents\Nouveau dossier\Daibutsu-den (« salle du Daibutsu ») au Todai-ji à Nara (752).jpg
  C:\Documents and Settings\Propriétaire\Mes documents\Nouveau dossier\L' ensemble sportif de Yoyogi des Jeux Olympiques de Tokyo de Kenzo Tange (1961 - 1964).jpg
  C:\Documents and Settings\Propriétaire\Mes documents\Nouveau dossier\Le Château d'Himeji (???, Himeji-jo) (1346 - 1618).jpg
  C:\Documents and Settings\Propriétaire\Mes documents\Nouveau dossier\Le Tô-ji (??, « temple de l'est ») et sa pagode, près de Kyoto longtemps sous la direction de Kukai (823).jpg
  C:\Documents and Settings\Propriétaire\Mes documents\Nouveau dossier\Le « Kyoto Concert Hall » (Kyoto) d'Arata Isozaki.jpg
  C:\Documents and Settings\Propriétaire\Mes documents\Nouveau dossier\nara_toukae003???·?????????????Naraen (???), celui qui est représenté avec la bouche fermée, symbolise la puissance latente .jpg
  C:\Documents and Settings\Propriétaire\Mes documents\Nouveau dossier\nara_toukae004???·?????????????Misshaku (??), celui qui a la bouche ouverte, illustre la puissance exprimée.jpg
  C:\Documents and Settings\Propriétaire\Mes documents\Nouveau dossier\nara_toukae027???·?????????????.jpg
  C:\Documents and Settings\Propriétaire\Mes documents\Nouveau dossier\nara_toukae028???·?????????????.jpg
  C:\Documents and Settings\Propriétaire\Mes documents\Nouveau dossier\??????·?????.jpg
  C:\hp\bin\KillWind.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse


Bonne journée

[inviteee807b26]

Bonsoir,

Voici le rapport après le move...
La tension est palpable au bout de nos doigts, en avons nous fini ???

Merci encore

La famille Plumrage

[invite9bff601c]

Bonsoir,

je pense que nous en avons fini, as-tu encore des problèmes ?

============================== ============================== ==

• Lance OTmoveIT.
• Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
  NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
• Une liste apparait dans la partie gauche d'OTmoveIT.
• Un message apparait pour confirmer le nettoyage. Confirme.

----------------------------------------------------------------------------

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Clique sur « Appliquer »
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

-------------------------------------------------------------------------------


Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autre infection
Nom de l'infection : Magic.Control

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide
============================== =============================

Bonne soirée