Bonjour à tous
Un cheval de troie est "entré" dans mon pc hier . Avast et AVG me l'ont signalé .Il a été mis en quarantaine mais revient tout le temps .Depuis j'ai des fenêtres de publicité qui s'ouvrent en permanence. Y-a-t-il une solution à mon problème ? Je vous remercie tous d'avance .
Sophie !
Bonjour Sophie et bienvenue sur Futura-Sciences Generation
Une question en passant ... n'es-tu pas Palmyre (c'est bizarrement le meme nom dans les rapports : Famille XXXXXXXX
On avait désinfecté la machine, non ??
Tu es effectivement infecté notemment par Vundo/Virtumonde, je vais t'aider à régler le problème :
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
- Double-clique VundoFix.exe afin de le lancer
- Clique sur le bouton Scan for Vundo
- Lorsque le scan est complété, clique sur le bouton Remove Vundo
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
- Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
- Poste le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse, en pièce jointe.
============================
AIDE : Configurer le contrôle des ActiveX
- Fais un scan en ligne Kaspersky avec Internet Explorer :
- Dans la nouvelle fenêtre, clique sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail
- Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
=========================
Poste les rapports demandés (en pièces jointes) : VundoFix, KasperskyOnline, et un nouveau hijackthis.
Je joins tes rapports anonymisés :
Bonjour et merci de m'aider .Maman avait desinfecté le pc et du coup je me suis réinscrite pour demander de l'aide....(sinon ça va barder) Je t'envoie tout ce que tu me demandes au prochain mail
Sophie
Il faudra surtout en fin de désinfection sécuriser la machine grace au dossier de prévention ....
Bonsoir ,
Voici les rapports demandés...Bonne lecture
Sophie
Bonjour Sophie
Bon boulot, la machine doit commencer a mieux se comporter, non ?
Je te conseillerais en passant de changer d'Antivirus ... voila un petit comparatif qui te montrera les faiblesses d'Avast par rapport à Antivir : http://forum.malekal.com/sutra23942.php#23942
Dis moi où en sont tes dysfonctionnements et si tout va bien, on terminera/finalisera la désinfection.
Bonne journée
Bonjour
J'ai fait un nouveau scan Vundo ce matin parce que Avast s'ouvrait en permanence , me signalant le cheval de troie . Voici le rapport HiJackThis que j'ai fait à la suite ,et aussi celui de Vundo
Bonjour
Effectivement, Vundo s'accroche ... on va voir s'il y a encore des restes :
- Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Double clique combofix.exe et suis les invites.
- Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport en pièce jointe dans ta prochaine réponse.
Poste également un nouveau hijackthis.
Bonne fin de journée
Bonjour , c'est Palmyre qui prend le relais de mes nigauds d'enfants .Forcémént ils ne sont pas fiers de leur bêtise , c'est en fait mon fils qui a voulu craquer un logiciel qui a infecté MON pc! (il s'est bien gardé de le faire sur le sien ) Je ne sais plus comment leur expliquer
, enfin bref , je vais laisser Sophie à ses occupations , puisqu'elle n'y est pour rien , (cette fois ci ) J'ai lu avec intérêt la conversation et vais donc changer d'anti-virus à la fin de la procédure (trés intéressant l'article ) Bon voici les rapports demandés . A bientôt....
Au fait , pour l'instant , je n'ai plus de pubs intempestives ....(mais pendant le scan Combofix , Avast s'est mis en route )
Bonsoir Palmyre
Tu ne féliciteras pas ton fils pour moi ...
On enchaine (il y avait encore quelques traces de vundo) :
- Crée un fichier avec le bloc-note, saisie le contenu de la boite ci-dessous :
Code:Folder:: C:\VundoFix Backups C:\Program Files\Navilog1 C:\Program Files\Multi_Media_France Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6FFB9B6E-BE8D-4E02-8F5A-B2276FB26F88}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8646FB1C-897C-4F2E-B3EC-559E09548BE8}] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebxxvw]
- Sauvegarde le fichier avec le nom suivant : CFScript.txt
- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
============================
Télécharge ce fichier SafeBoot.reg puis double-clique dessus et accepte l'inscription des données.
NOTE : si le fichier SafeBoot.reg s'ouvre sur la navigateur, faire un clic droit sur le lien puis enregistrer la cible du lien sous.
=============================
Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :
Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.O2 - BHO: (no name) - {6FFB9B6E-BE8D-4E02-8F5A-B2276FB26F88} - C:\WINDOWS\system32\ddaba.dll (file missing)
O2 - BHO: (no name) - {8646FB1C-897C-4F2E-B3EC-559E09548BE8} - C:\WINDOWS\system32\mllmk.dll (file missing)
O20 - Winlogon Notify: gebxxvw - gebxxvw.dll (file missing)
=============================
AIDE : Configurer le contrôle des ActiveX
- Fais un scan en ligne Kaspersky avec Internet Explorer :
- Dans la nouvelle fenêtre, clique sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail
- Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
====================
Poste moi les rapports demandés : ComboFix, KasperskyOnline et un nouveau hijackthis.
Bonne soirée
Bonjour
Voici les derniers rapports
Palmyre
Bonjour
Beau boulotmais le rapport hijackthis n'est pas complet.
Un fichier m'intrigue, je vais te le faire analyser :
- Télécharge http://xfocus.net/tools/200605/IceSword1.18en.rar
- Double-clic sur IceSword1.18en.rar et extrait tous les fichiers sur ton bureau.
- Double-clique sur IceSword.exe
- Dans la partie gauche de l'interface, clique sur File
- Selectionne ensuite, dans la partie droite, le fichier suivant :
C:\WINDOWS\system32\552A723E42 .sys- Fais ensuite un clique-droit sur le fichier puis copy to...
- Donne lui son vrai nom et choisis un chemin pour sauvegarder le fichier (genre C:\doute_sur_un_fichier\552A72 3E42.sys
- Analyse ce fichier 552A723E42.sys chez virustotal :
http://www.virustotal.com- Clique sur parcourir localise le fichier sur ton disque dur ( C:\doute_sur_un_fichier\552A72 3E42.sys ) et clique sur send.
- Attend le rapport et colle le dans ta prochaine réponse
Bonne journée
Rapport anonymisé
Je suis désolée , j'ai fait une mauvaise manoeuvre avec IceSword ,je n'arrivais pas à avoir de fichier quand j'ai cliqué sur file ..J'ai voulu le réinstaller mais il est parti je ne sais où et je n'arrive pas à le supprimer puisqu'il est utilisé par une autre source ....Que dois-je faire ???
Voici le message exact :
Initialize failed , error code:1073741544
Encore un nouveau message ...Voilà en fait j'ai retrouvé une petite icone dans ma barre de tache et j'ai tout desinstallé et réinstaller .Bon quand je clique sur file , je dois cliquer sur quoi :Setting ?
Coucou
Tu ne dois pas cliquer sur File situé en haut (pas le menu), mais sur File dans la partie gauche de Icesword, sur le bas de la partie gauche, ensuite tu cherches le fichier demandé.
@ + tard
Ouf , voici le rapport ....
Bonne nuit
Merci
As-tu encore des dysfonctionnements ?
Bonjour ,
Pour l'instant , il n'y a plus de dysfonctionnement ...Serait-ce la fin de mes ennuis ??...
Pendant le dernier scan de combofix , avast s'est mis en route mais depuis plus rien .En fait il se met en route quand d'autres anti-virus fonctionnent....
Coucou
Peut-etre bien ...Serait-ce la fin de mes ennuis ??
Poste moi un nouveau rapport hijackthis stp.
@ + tard
Voici le dernier rapport .
Palmyre
Impeccable
Et voila, un nouveau point de restauration qui est a priori propre.
- Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
- Coche la case "Désactiver le système de restauration..."
- Redémarre l'ordinateur
- Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
- Décoche la case "Désactiver le système de restauration..."
Désinsalle/supprime tout ce que je t'ai fait télécharger (sauf bien sur le firewall), tu peux aussi garder ATF-Cleaner.
Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.
Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.
Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.
Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Infections
Ton infection était Vundo/Virtumonde.
Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide
Bonne fin de journée
Un grand MERCI pour tout .Je mets mon PC sous verrou !(interdiction d'y toucher avant nouvel ordre !) Je m'en vais télecharger Antivir ....Encore merci et
Palmyre
