Trojan horse Small.DO

[invite7059ccaa]

Bonjour,
Suite à une analyse complète du système, j'ai détecté et supprimé à l'aide de AVG Free Edition (à jour) un cheval de troie (Small.DO) mais j'ai toujours des problèmes : le malwar est toujours sur l'ordinateur et les pages web n'arrêtent pas de défiler toutes seules !! J'ai refait l'analyse mais AVG n'a rien détecté.
J'ai suivi les étapes indiquées dans le dossier "Premiers gestes pour désinfecter sa machine" et posté les fichiers des rapports obtenus avec Hijackthis et RkUnhooker. Je n'ai pas pu executer DiagHelp.

Merci !
-----

[invite7059ccaa]

J'ai besoin d'aide s'il vous plait

[Cyrrus]

Bonsoir liberte17,

Il nous manque le rapport de Diaghelp, poste le nous en pièces jointes. Si possible, le rapport d'avg antispyware que tu as apparemment utilisé.

Bonne soirée
Cyrrus

[invite7059ccaa]

Il y a un problème avec Diaghelp : quand j'appuie sur 1 puis sur entrée la fenêtre disparait.

[A voir en vidéo sur Futura]

[Cyrrus]

Bonjour liberte,

Es tu sur d'avoir bien totalement dézippé l'archive dans un dossier sur ton Bureau ? Si tu te contentes d'ouvrir l'archive et de lancer go.cmd, cela ne peut pas marcher.

Bonne journée
Cyrrus

[invite7059ccaa]

Salut
Voici le rapport
Merci Cyrrus !
Bonne journée à toi aussi !

[invite7059ccaa]

Qu'est ce que je dois faire maintenant ?

[yoda1234]

le rapport d'avg antispyware que tu as apparemment utilisé.

Bonjour,

aller, encore un petit effort....
Il faudra patienter un petit peu, aussi.

[Cyrrus]

Bonjour liberte, Yoda,

Télécharge FindAWF:
http://noahdfear.net/downloads/FindAWF.exe

Sauvegarde le fichier sur ton Bureau.
Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 1 then Enter to scan for bak folders
Le scan peut prendre un peu de temps, donc soit patient.

Quand il a fini, un rapport Find AWF report est généré.
Poste ce rapport Find AWF report dans ta prochaine réponse.

Bonne journée
Cyrrus

[invite7059ccaa]

Bonsoir Cyrrus,
Voici le rapport
et merci bcp !!

[Cyrrus]

Bonsoir liberte,

Option 2:
Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 2 then Enter to restore files from bak folders
Appuie sur une touche pour poursuivre.


Un fichier texte s'ouvre appelé : files.txt
Clique en dessous de la ligne et colle la liste de fichiers qui suit :

"C:\Program Files\iTunes\bak\iTunesHelper. exe"
"C:\Program Files\QuickTime\bak\qttask.exe "
"C:\WINDOWS\system32\bak\ctfmo n.exe"
"C:\Program Files\Ahead\InCD\bak\Error.log "
"C:\Program Files\Ahead\InCD\bak\InCD.exe"
"C:\Program Files\Grisoft\AVG Free\bak\avgcc.exe"
"C:\Program Files\Real\RealJukebox\bak\tsy stray.exe"
"C:\Program Files\Real\RealPlayer\bak\chan nels.xml"
"C:\Program Files\Real\RealPlayer\bak\real play.exe"

Ensuite, ferme le fichier et clique sur Yes pour sauvegarder les changements.

Une fois que le fichier files.txt est sauvegardé, FindAWF fait ce qui suit:
-Il stoppe les processus nommés dans la liste précédente, si ceux-ci tournent.
-Supprime les rogues dans le dossier parent si présent.
-Copie le fichier original dans le dossier parent.

Quand il aura terminé toutes ces opérations, il commencera automatiquement un noveau scan et ouvrira un nouveau rapport.
Poste ce nouveau rapport FindAWF dans ta prochaine réponse.

Bonne soirée
Cyrrus

[invite7059ccaa]

Bonsoir Cyrrus,
Merci encore pour ton aide
Salut !

[Cyrrus]

Bonsoir liberte,

Option 3:
Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 3 then Enter to remove bak folders

Un fichier texte s'ouvre appelé : folders.txt
Clique après la ligne et colle la liste de dossiers qui suit :

C:\Program Files\iTunes\bak
C:\Program Files\QuickTime\bak
C:\WINDOWS\system32\bak
C:\Program Files\Ahead\InCD\bak
C:\Program Files\Grisoft\AVG Free\bak
C:\Program Files\Real\RealJukebox\bak
C:\Program Files\Real\RealPlayer\bak

Ensuite, ferme le fichier et clique sur Yes pour sauvegarder les changements.

Une fois que folders.txt a été sauvegardé, FindAWF fait ce qui suit :
-Il supprime le contenu des dossiers bak
-Supprime les dossiers bak

Quand il a fini ces opérations, il lancera automatiquement un nouveau scan et un nouveau rapport sera généré.

Poste dans ta prochaine réponse ce nouveau rapport FindAWF.

Bonne soirée
Cyrrus

[invite7059ccaa]

Bonjour Cyrrus,
Le rapport
Merciiii!!
@ bientot

[Cyrrus]

Bonsoir liberte,

Il reste un dossier à enlever.

Refais l'option 2 avec cette ligne :

"C:\Program Files\QuickTime\bak\qttask.exe "

Puis refais l'option 3 avec cette ligne :

C:\Program Files\QuickTime\bak

Poste moi le nouveau rapport de l'option 3.

Ou en sont les symptômes ?

Bonne soirée
Cyrrus

[invite7059ccaa]

Bonsoir Cyrrus,

Je n'ai plus de probleme avec les pages qui défilent tout marche bien

Merci bcp pour ton aide

A bientot

[Cyrrus]

Bonsoir liberte,

On termine :

Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 4 then Enter to reset domain zones

Appuie sur 1 pour Continuer l'opération

Cela va supprimer toutes les entrées du "domain zones".
Quand le programme a fini, il retourne au menu principal, choisis l'option suivante :
Presse E then Enter to EXIT

------------------------------------------

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.


Poste moi le rapport de Kaspersky web scanner

Bonne soirée
Cyrrus

[invite7059ccaa]

Bonsoir Cyrrus,

Je te remercie encore une fois pour ton aide.

Bonne soirée
Sara

[Cyrrus]

Bonjour Sara,

De mon côté tout m'a l'air bon. As tu encore des symptômes ?

Je te fais faire une dernière vérification quand même :


Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip

1. Fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, choisis extrait tout ou extraire ici
2. Cela va créer un dossier clean.
3. Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
4. Double-clique sur clean. Cela va ouvrir une fenêtre noire.
5. Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.

Clean va travailler.
Un rapport va etre généré, poste ce rapport dans ta prochaine réponse.

Bon Dimanche
Cyrrus

[invite7059ccaa]

Bonsoir Cyrrus,

Tout marche bien grâce à toi

Voici le rapport

@ bientôt
Merci
Sara

[Cyrrus]

Bonsoir Sara,

Impec. Quelques conseils de prévention pour éviter de retomber là dedans :

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.


Cyrrus
PS : Tu peux supprimer tout ce que je t'ai fait utiliser, tu n'en auras (j'espère) plus besoin.

[invite7059ccaa]

Merci merci et encore merciii Cyrrus

A bientôt