Problème: virus win32

[invitebf5cd8b2]

Bonjour Line,

Au niveau des fichiers l'infections se porte toujours bien, mais mon Dimanche de Pâques m'a donné une idée sur la raison de sa survie :

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

@ECHO OFF
dir %Windir%\tasks /a h > files.txt
notepad files.txt
del /q files.txt
exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : findvund.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier findvund.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

Poste le fichier qui s'ouvrira en pièces jointes.

Bonne journée
Cyrrus
-----

[invitef89393c7]

Re,

Voilà ce qui y avait dans le fichier (parce que dès que j'ai fermé notepad il a disparu, même après l'avoir sauvegardé sur le bureau):

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F000-A498

Répertoire de C:\WINDOWS\tasks

09/10/2007 21:52 <REP> .
09/10/2007 21:52 <REP> ..
05/08/2004 14:00 65 desktop.ini
24/03/2008 10:14 6 SA.DAT
22/03/2008 21:48 414 THCScheduledTask2008-03-24-17-58.job
22/03/2008 21:48 388 THCScheduledTask2008-03-24-17-50.job
4 fichier(s) 873 octets

Répertoire de C:\Documents and Settings\emeline\Bureau

[invitebf5cd8b2]

Re,

(si tu fais Fichier > Enregistrer sous dans Notepad, tu peux avoir le fichier...).

1. Va dans ce dossier > C:\Program Files\Fichiers communs

2. Crée y à l'intérieur un fichier bloc note et colle y ce code :

Code:

@ECHO OFF
dir > files.txt
notepad files.txt
del /q files.txt
exit

Enregistre le sous find2.bat et double clique dessus. Poste le fichier obtenu (que tu auras sauvegardé avant de le fermer).

[invitef89393c7]

Voilà! C'est fait

[invitebf5cd8b2]

Re...Re,


En mode sans échec cette fois, place toi dans C:\WINDOWS\Fonts

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Colle le fichier find2.bat (ou recrée le si tu l'as supprimé) et lance le. Poste le rapport.

C'est long...mais je ne trouve pas ce foutu dropper...

[invitef89393c7]

Il m'a pas laissé coller le fichier find2.bat dans Fonts; il me disait "impossible d'installer la police, fichier non valide ou endommagé". Du coup, je l'ai collé dans C:\windows. Et voilà le rapport que ça a genéré.

[invitebf5cd8b2]

Il m'a pas laissé coller le fichier find2.bat dans Fonts; il me disait "impossible d'installer la police, fichier non valide ou endommagé". Du coup, je l'ai collé dans C:\windows. Et voilà le rapport que ça a genéré.

Utilise ce code, cela ira mieux :

Code:

@ECHO OFF
dir C:\Windows\Fonts > files.txt
notepad files.txt
del /q files.txt
exit

[invitef89393c7]

Cette fois ça a marché ^^

[invitebf5cd8b2]

Re,

J'ai peut être trouvé ce qui cloche (enfin) : Refais un scan diaghelp (option 1 et poste le).

[invitef89393c7]

Re,

Voilà, c'est fait

[invitebf5cd8b2]

Re,

Je pense que j'ai trouvé :

1. Télécharger OTMoveIt2 par OldTimer.

• Enregistrer ce fichier sur le Bureau.
• Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil.
• Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  
  
  
  Code:

  C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\wjlm.exe
  C:\WINDOWS\System32\xxwwtqnl
  C:\WINDOWS\System32\nmp.log
  C:\WINDOWS\System32\jkkliifc.dll
  C:\WINDOWS\System32\jvcrlnpu.ini
  C:\WINDOWS\System32\rqfxenpj.ini
  C:\WINDOWS\System32\ouppknmc.ini
  C:\WINDOWS\System32\vjnretny.ini
  C:\WINDOWS\System32\f000b6b9
  C:\WINDOWS\xxwwtqnl
  C:\WINDOWS\0.log
  C:\WINDOWS\ssqpooli.dll
  C:\WINDOWS\BMf33397ab.txt
  C:\WINDOWS\system32\jkkliifc.dll
  C:\WINDOWS\Downloaded Program Files\jinstall-6u3.inf
  C:\WINDOWS\system32\vtsqo.dll
  C:\WINDOWS\system32\sstqp.dll
  C:\WINDOWS\system32\mlljj.dll
  C:\WINDOWS\system32\pmkhe.dll
  C:\WINDOWS\system32\bneoajpl.dll
  C:\WINDOWS\system32\pmnnkjgd.dll
  C:\WINDOWS\mljgedaw.dll
  C:\WINDOWS\system32\upnlrcvj.dll
  C:\WINDOWS\system32\olcowydd.dll
  C:\WINDOWS\system32\jkkliifc.dll
  C:\Documents and Settings\emeline\Application Data\ddcccdaw.dll

  
  
• Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.
  
• Cliquer sur le bouton rouge Moveit!.
• Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.
• Fermer OTMoveIt2

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

2. Utilise ce CFScript (clic droit - enregistrez sous) > http://pagesperso-orange.fr/ruscry/CFScript.txt


3. Télécharge ce fichier (clic droit - enregistrez sous) > http://pagesperso-orange.fr/ruscry/fix.reg

Double clique dessus et accepte la fusion avec le registre.


Poste les rapports de :

OTMove IT
Combofix
Un nouveau rapport DSS.

Normalement il ne devrait plus se réinstaller cette fois ci.

Bonne soirée
Cyrrus

[invitef89393c7]

Re,

Bon ben, j'ai fait ce qu'il fallait. J'espère que t'as raison et que je suis enfin débarassée du virus. ^^"

Jte poste les 3 rapports (celui-là -> 03242008_173022.log c'est le rapport OTMoveIt)
Espérons que ça va confirmer que le virus n'est plus là.

Merci beaucoup d'avoir pris de ton temps pour m'indiquer comment faire!!
Bonne soirée
Line67

[invitebf5cd8b2]

Re,

Au niveau des rapports en tout cas cela va beaucoup mieux. Il reste néanmoins quelques fichiers a supprimer :

1. Refais la manip OTMoveit avec ces fichiers :

Code:

C:\WINDOWS\ssqpooli.dll
C:\Documents and Settings\emeline\Application Data\ddcccdaw.dll

2. Utilise ce CFScript > http://pagesperso-orange.fr/ruscry/CFScript.txt

3.

Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
• Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

4. Relance ce fichier > http://pagesperso-orange.fr/ruscry/fix.reg

Où en sont les symptômes ?

[invitebf5cd8b2]

Re,

Juste pour vérifier quelque chose :

Crée un fichier bloc note et colle ceci dedans :

Code:

@echo off
dir "c:\Documents and Settings\emeline" > C:\file.txt
notepad C:\file.txt
exit

Poste le fichier file.txt (il est sauvegardé ici : C:\file.txt)

Bonne soirée
Cyrrus

[invitef89393c7]

Re,

Ben pour les symptômes, j'ai encore quelques pop-up qui s'ouvrent mais rarement et voilà!

J'ai exécuté la première procédure donc je te poste les rapports (ccleaner génère un rapport?). Par contre pour le fichier bloc note que je dois créer, je dois l'appeler comment et je dois le créer où??

Bonne soirée
Line

[invitebf5cd8b2]

Bonjour,

Ben pour les symptômes, j'ai encore quelques pop-up qui s'ouvrent mais rarement et voilà!

Ils s'ouvrent pendant la navigation ou lorsque tu es sur le Bureau ?

ccleaner génère un rapport?

Non, aucun.

, je dois l'appeler comment et je dois le créer où??

Appelle le check.bat et lance le sur le Bureau.

Bonne journée
Cyrrus

[invitef89393c7]

Bonsoir,

Non, les pop-up s'ouvrent seulement pendant la navigation.
Voilà, jte poste le fichier file.

Merci encore
Bonne soirée
Line

[invitebf5cd8b2]

Bonsoir,

Non, les pop-up s'ouvrent seulement pendant la navigation.
Voilà, jte poste le fichier file.

Ce sont les mêmes que ceux que tu avais avant ? Si tu utilises Internet Explorer comme navigateur c'est "normal".

De mon côté c'est clean. Poste un dernier rapport hijackthis (avant de le lancer, renomme hijackthis.exe en Futura.exe).

Le pc va donc mieux ?

Bonne soirée
Cyrrus

[invitef89393c7]

Bonjour,

Oui, j'utilise bien internet explorer; mais depuis hier j'ai plus aucun pop-up.
Ben écoute, pour l'ordi, ça va beaucoup mieux; il rame plus, plus de pop-up, plus d'alerte de l'anti-virus pour me dire que qu'il y a un cheval de troie.
Enfin le paradis quoi!! ^o^

Jte poste le rapport Hijackthis.

Et encore une fois, merci mille fois d'avoir pris de ton temps pour m'aider!!!
Bonne journée Cyrrus
Line

PS: Est-ce que je peux désinstaller tous les logiciels que tu m'avais fait installer pour traiter le(s) virus??

[invitebf5cd8b2]

Bonjour,

Boooon....eh bien je crois qu'on est enfin au bout. Désolé que cela ait duré aussi longtemps, entre mon oubli et le ratage de ce fichu fichier qui réinstallait tout....

Est-ce que je peux désinstaller tous les logiciels que tu m'avais fait installer pour traiter le(s) virus??

Comme ya pas mal de chose à faire je vais automatiser le truc :

• Lance OTmoveIT.
• Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
  NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
• Une liste apparait dans la partie gauche d'OTmoveIT.
• Un message apparait pour confirmer le nettoyage. Confirme.

Si le logiciel demande un redémarrage pour finir la désinstallation accepte.

~~~~

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Bonne journée
Cyrrus

[invitef89393c7]

Re,

Bon ben encore une fois merci.
J'ai lancé OTmoveit et tout est désinstallé; ça fait bizarre, mon bureau est tout vide et rangé. ^^

Puis merci pour le lien vers le dossier prévention; j'ai été voir puis j'ai installé spybot et zonealarm. Et j'ai téléchargé opéra. (ça sera sûrement pas du luxe!! ^^")

Allez bonne soirée et merci encore!!
Line

PS: t'excuse pas pour avoir oublié, ni pour le fait que ça ait pris du temps (ça n'a pas pris du temps que pour moi, t'as aussi passé pas mal de temps dessus).
Et si y avait quelqu'un qui devait s'excuser ça serait plutôt moi ; si j'avais fait gaffe, j'aurais pas choppé de virus et t'aurais pas pu oublier parce que y aurait ni eu besoin de le désinstaller, ni eu matière à oublier!

[invitebf5cd8b2]

Bonjour,

et zonealarm

Théoriquement tu as dejà installé un firewall un peu plus tôt lorsque je te l'ai demandé.

Une règle d'or en matière de protection : Jamais deux antivirus (ou plus) en même temps, jamais deux firewall (ou plus) en même temps.

Bonne journée
Cyrrus

[invitef89393c7]

Bonjour,

Théoriquement tu as dejà installé un firewall un peu plus tôt lorsque je te l'ai demandé.

Comme je t'avais dis que j'avais le pare-feu windows et que tu m'as pas dis que je devais en installer un autre j'y ai pas touché en fait.
Mais là, en lisant le dossier, ils disent que celui dont windows XP est équipé est pas très efficace et qu'il faut le désactiver après en avoir installé un autre.
Donc c'est ce que j'ai fait! ^^ (j'aurais pas du?)

Allez bonne journée,
Line

[yoda1234]

Bonjour,

si tu n'as que ZA, alors pas de problème.

[invitebf5cd8b2]

Bonsoir,

si tu n'as que ZA, alors pas de problème.

Voilà, c'est exactement çà. Si tu n'as QUE Zone Alarm comme firewall, alors c'est ok. Comme je l'ai dit, jamais 2 firewall, jamais 2 antivirus.

[invitef89393c7]

Bonjour

Ben! Tout est ok alors; parce que j'ai désactivé le pare-feu windows et j'ai plus que zonealarm. ^^

Merci à tous les deux
Bonne journée
Line