New Poly Win32

[invite21ea2618]

Bonjour,

Mon ordinateur a été infecté aujourd'hui par un virus dénommé "New Poly Win32".

Circonstances d'apparition :
Banales (lecteur windows media player, internet : kasmail et Jbuilder).

Symptômes :
1. Apprition d'un écran bleu : "Cet écran apparaît pour protéger votre ordinateur. (...) Si cet écran apparait pour la première fois, redémarrer votre ordinateur, etc."
2. Suite au redémarrage et au lancement d'une analyse CCleaner, réapparition du même écran bleu.
3. Redémarrage : CCleaner et ATFCleaner s'ouvrent mais se referment dans la seconde ; Hijackthis affiche ce message à l'ouverture : "(...)\HijackThis.exe n'est pas une application Win32 valide".
4. Aucun son n'est présent et ma carte son ne semble pas reconnue dans le panneau de configuration.
5. McAfee (mon antivirus, pare-feu, etc) est introuvable.

Détection :
Suite à un nouveau redémarrage, McAfee se lance et je lance une analyse complète. Résultats : 8 fichiers détectés dont 5 supprimés, 2 en quarantaine et 1 impossible à supprimer, ce dernier étant le fameux New Poly Win32. Répertoire indiqué par McAfee : C:\WINDOWS\system32\drivers\do wn\174620, mais le répertoire down est introuvable. Aucune des analyses suivantes ne redétectera le fichier, mais les symptômes n'ont pas changé !
De plus, McAfee m'indique que mon ordinateur n'est pas protégé, que le pare-feu ne fonctionne pas... Mais je n'ai pas réussi à résoudre le problème.

En pièce jointe :
Un résumé système de mon pc (ReportEverest.txt) et le fichier obtenu par DiagHelp (catchme.log, si c'est bien celui-là ?).

Merci d'avance pour votre aide !
jocanak
-----

[Cyrrus]

Bonjour,

Belle infection.

Télécharge ELIBAGLA en bas de cette page.
http://www.zonavirus.com/datos/desca...5/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton Bureau.

Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire.

ATTENTION : Ne cherche pas à aller en mode sans échec par msconfig, cela pourrait compremettre ton système

Patiente le temps du scan.
Lorsqu'il a terminé, poste le fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\

~~~~

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

~~~~~~

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Poste les rapports en pièces jointes.

Bonne journée
Cyrrus

[invite21ea2618]

Merci infiniment pour ta réponse, je m'y attèle de suite !

[invite21ea2618]

Alors voilà... Le redémarrage en mode sans échec est impossible !

J'ai téléchargé sur mon bureau les trois programmes dont tu m'as parlé. J'ai eu le même message d'erreur pour Combofix que pour Hijackthis (...n'est pas une application win32 valide). Ensuite j'ai essayé deux modes sans échec (un avec et l'autre sans connexion réseau) -> j'aboutis dans les deux cas sur un nouvel écran bleu qui dit :

"Un problème a été détecté et Windows a été arrêté afin de prévenir tout dommage sur votre ordinateur. Recherchez tout virus sur votre ordinateur. Supprimez tout disque dur ou contrôleur de disque dur nouvellement installé. Vérifiez votre disque dur afin de vous assurer qu'il est correctement configuré et terminé.
Exécutez CHKDSK /F pour vérifier la présence d'un dommage sur votre disque dur puis redémarrez votre ordinateur.
Informations techniques : *** STOP : 0x0000007B (0xF7A2A524, 0XC0000034, 0XC00000000, 0XC00000000)"

Ensuite j'ai redémarré avec l'option dernière bonne configuration connue, et là j'ai récupéré le son ! Mais pour le reste rien n'a changé.
J'ai fait tourner le CHKDSK, ensuite dernier essai de redémarrage en mode échec et j'aboutis encore sur cet écran bleu...

Si tu as encore une idée lumineuse, je suis preneuse !!
Merci !

[A voir en vidéo sur Futura]

[Cyrrus]

Re,

Qu'en est il d'elibagla ?

[invite21ea2618]

Voilà j'ai fait l'analyse avec Elibalga, mais pas en mode sans échec donc.
Voici le fichier, on dirait bien qu'il a trouvé et effacé quelque chose... Mais je ne comprends rien à l'espagnol !

[Cyrrus]

Re,

C'est bien ce que je pensais : il faudrait lire ce qui est écrit. D'abord tu dois passer Elibagla, ensuite Combofix et enfin sdfix.

Réessaye maintenant Combofix (en mode normal) et enfin sdfix (en mode sas échec).

Cyrrus

[invite21ea2618]

Voilà. Excuse-moi, j'avais bien lu tout ce qui était écrit mais il ne m'est pas venu une seconde à l'esprit que l'ordre pouvait être important.

Combofix ne fonctionne toujours pas (même message d'erreur qu'auparavant), mais cette fois le mode sans échec a marché et SDFix aussi. Je sais je suis super -désobéissante mais j'ai quand-même essayé de lancer Combofix après cette manip, sans résultat évidemment. Sinon au redémarrage Elibagla s'est lancé en premier (avant SDFix), j'ai pas compris pourquoi.

Merci encore pour ton aide !

[Cyrrus]

Bonsoir,

Pour Combofix c'est normal. Télécharge le depuis cette adresse > http://pagesperso-orange.fr/ruscry/ComFuturix.exe

L'infection n'est pas completement enlevé, et bloque Combofix, d'ou le renommage. Lance le en mode normal et poste son rapport.

Cyrrus

[invite21ea2618]

Merci, cette fois ça a marché !!
Voici le rapport, en espérant qu'on en soit venus à bout !

[invite21ea2618]

PS (désolée trop tard pour l'édit) : CCleaner et ATF Cleaner fonctionnent de nouveau !
Mais pas Hijackthis ni McAfee.
Je peux nettoyer les registres avec CCleaner ?

[Cyrrus]

Re,

Bon c'est dejà mieux.

1. Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\system32\drivers\down\

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

2. Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Poste les deux rapports, en pièces jointes.

Bonne soirée/nuit
Cyrrus
PS :

Je peux nettoyer les registres avec CCleaner ?

Pas pour l'instant.

Mais pas Hijackthis ni McAfee.

Application win32 non valide ?

[invite21ea2618]

Voilà, le scan est enfin terminé

Que tu saches, le lien que tu as mis pour OTMoveIt est mort ; j'ai trouvé un autre lien qui marche sur un autre forum : http://download.bleepingcomputer.com/ol ... oveIt2.exe.

Le scan de MBAM n'a visiblement pas permis de trouver de fichier infecté.

Enfin, pour répondre à ta question, oui il y a ce message d'erreur "... n'est pas une application win32 valide" pour hijackthis, mais pour Mc afee c'est différent : il s'ouvre mais aucune des options ne marche et la fonction corriger ne donne rien. En plus l'icône disparaît souvent de barre des tâches et ensuite, l'application est introuvable (en tous cas moi je ne la retrouve plus !).

Merci infiniment pour tous les précieux conseils que tu m'as donné aujourd'hui, franchement je reste bouche bée quand je pense que votre équipe est bénévole et abat tout ce travail de cas par cas, jour après jour ! Moi je trouve que ça mériterait un bon salaire

J'espère à demain et bonne nuit,
jocanak

[Cyrrus]

Bonsoir,

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne soirée
Cyrrus

[invite21ea2618]

Merci Cyrrus, ça valait le coup Kapersky a trouvé 13 objets infectés dont 7 virus ! Je t'envoie le rapport en pièce jointe. Amitiés, jocanak

[Cyrrus]

Bonsoir,

Rien de méchant, juste un fichier sur lequel j'aimerais une confirmation :

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
• Navigues pour trouver ce fichier (*) :

Code:

C:\WINDOWS\system32\psnppagn32.dll

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
• Une nouvelle fenêtre de ton navigateur va apparaître
• Clique alors sur cette image :
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
• Enfin colle le résultat dans un fichier texte
• Poste ce fichier dans ta prochaine réponse.

Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

(*) : si tu ne trouves pas le fichier en question, affiche tous les fichiers/dossiers :

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Poste le rapport. Où en sont les symtpômes ?

Bonne soirée
Cyrrus

[invite21ea2618]

Merci de ta réponse, voici le rapport.

Les symptômes n'ont pas bougé :

1.Hijack this refuse toujours de s'ouvrir (message ...n'est pas une application win32 valide).

2.McAfee ne foncionne pas complètement.
Je leur ai aussi demandé de l'aide et ils m'ont fait faire un scan sous DOS ; si jamais la procédure que j'ai suivie est décrite ici : http://service.mcafee.com/FAQDocumen...e&type=TS&ia=1.
Ca a permis de résoudre le problème du pare-feu mais pas le reste, à savoir : -l'analyse en temps réel,
-l'analyse des logiciels espions et des programmes potentiellement indésirables,
-l'analyse des messages instantanés
-l'analyse des scripts et
-la protection contre le débordement de la mémoire tampon (qui se mettait très vite en route avant, avec un joli message d'avertissement ).
Pour ça je peux toujours voir avec eux mais ça fait partie des symptômes quoiqu'il en soit.

3. Il y aussi au moins un programme (Citrus Alarm Clock, un réveil-matin) qui n'exécute plus au démarrage. Il m'a toujours été impossible de l'ouvrir en cliquant simplement sur l'exécutable.

4. Dernière chose, côté connexion internet (wireless), d'habitude j'ai deux programmes différents pour ça et quand l'un fonctionne l'autre ne fonctionne pas et inversément, mais là ils fonctionnent toujours les deux en même temps et je ne peux rien y changer.

Je n'avais pas remarqué les deux derniers symptômes tout de suite.
Bonnes fêtes de Pâques et encore merci,
jocanak

[Cyrrus]

Bonjour,

Hijack this refuse toujours de s'ouvrir (message ...n'est pas une application win32 valide).

Télécharge une nouvelle copie et réessaye.

McAfee ne foncionne pas complètement.

Désinstalle/résinstalle le.

Il y aussi au moins un programme (Citrus Alarm Clock, un réveil-matin)

Fais de même.

Dernière chose, côté connexion internet (wireless), d'habitude j'ai deux programmes différents pour ça et quand l'un fonctionne l'autre ne fonctionne pas et inversément, mais là ils fonctionnent toujours les deux en même temps et je ne peux rien y changer.

Précise. Est ce que cela te gêne pour avoir accès à Internet ? L'infection que tu as (eu) fait parfois des dégats...je n'y peut rien.

Supprime ce fichier : C:\WINDOWS\system32\psnppagn32.dll

~~~~~~


Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
   S'il s'agit d'une utilisation supplémentaire de DSS :
   • tu n'auras pas de boîte de dialogue (pas de OK)
   • quand le traitement est terminé, un fichier texte s'affiche :
     main.txt <- ouvert en premier plan et en plein écran
4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
5. copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
6. n'oublie pas de réactiver les protections si elles ont été stoppées.

Poste les rapports de DSS (un rapport hijackthis est inclus dans les rapports DSS).

Bonne journée
Cyrrus

[invite21ea2618]

Re-bonjour,

Voilà j'ai fait ce que tu avais demandé :

Hijack This, McAfee et Citrus Alarm Clock marchent à nouveau après leur réinstallation

Pour l'histoire de la connexion internet (les deux programmes qui fonctionnent en même temps) je peux me connecter sans autre, donc ce n'est pas à proprement parler un symptôme. J'avais juste remarqué que ce n'était pas comme d'habitude, mais ça ne me dérange absolument pas.

Sinon j'ai supprimé le fichier C:\WINDOWS\system32\psnppagn32 .dll. Pour la petite histoire j'ai du me servir du programme unlocker qui a débloqué le processus winlogin.exe, car ce dernier empêchait la suppression du fichier. Je ne connais pas ce processus, en tous cas je ne pouvais pas l'arrêter simplement à partir du gestionnaires des taches.

Enfin, j'ai suivi la procédure pour Deckard's System Scanner, je t'envoie les deux fichiers en pièce jointe (je crois que tu voulais que je les mette directement dans le message mais je préfère pas, donc au cas où redis-le moi et je le ferai).

Merci infiniment et bonne fin de dimanche,
jocanak

[Cyrrus]

Bonsoir,

On termine :

Lance Hijackthis, clique sur Do a system scan only et coche la ligne suivante :

O20 - Winlogon Notify: psnppagn32 - psnppagn32.dll (file missing)

Clique sur Fix Checked.

~~~~


Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Bonne soirée
Cyrrus

[invite21ea2618]

Salut !

Voilà, j'ai bien "fixé" la ligne O20 dans HijackThis. Je crois que là on a gagné la guerre !!!
Je sais pas comment te remercier pour toute l'aide que tu m'as apportée, ça m'a vraiment tiré d'un mauvais pas et je m'en serais jamais sortie toute seule ! Alors encore une fois bravo pour tout le boulot que vous faites et M-E-R-C-I !!!

Sinon pour le dossier de prévention je l'ai lu de A à Z l'autre jour et entre parenthèses je l'ai trouvé très bien fait.

Tant qu'on y est j'ai une petite question : je vais bientôt recevoir un nouvel ordinateur (mais je continue aussi avec celui-ci, on n'a pas fait tout ça pour rien ) et je voulais l'armer d'antivirus, pare-feux, etc gratuits. Est-ce qu'il y en a que tu recommandes plus que d'autres ?

A bientôt,
jocanak (au comble du bonheur)
ps: et pour une fois pas de pièce jointe , mais un message bourré de smiley's !

[Cyrrus]

Re,

Merci...pour les mercis.

. Est-ce qu'il y en a que tu recommandes plus que d'autres ?

S'il est nouveau, alors il sera sur Vista. Cela implique :

- Evite la partie Drop my rights, vu que sous Vista il y a tout un patacaisse avec la gestion des droits.


Personnellement je te propose une "config" simple mais efficace :

Antivir : gratuit, compatible Vista. Il y a un petit problème vis à vis de la mise à jour auto, à régler ici > http://www.avira.com/en/support/faq/details.html?id=213

Firewall : Je te conseille de laisser celui de Vista. Ce n'est pas la panacée, mais trop peu de firewall sont compatibles Vista pour tenter autre chose.

Firefox : Navigateur gratuit, beaucoup plus sur qu'Internet Explorer (garde le quand même). Rajoute y l'extension AdblockPlus pour éviter les pubs.


Cela ne doit pas te faire oublier le plus important : la prudence > quand on sait pas....on clique pas.

Cyrrus

[invite21ea2618]

Merci, j'aurais du préciser le futur ordi sera sous Linux.
Je suis sous firefox depuis un bout de temps, mais je ne connaissais pas AdblockPlus, je vais aller voir ça !
Sinon ok pour antivir, j'en avais entendu parler sans trop savoir s'il était vraiment fiable.
Reste le pare-feu, et... un antispyware ? Là je n'y connais rien, je pensais que ça allait de paire avec l'antivirus.
Et pour la prudence... oui, je vais encore en redoubler. J'ai finalement toujours pas compris comment j'ai pu attraper ce virus, mais je me souviens avoir fait quelques trucs risqués un ou deux jours auparavant. Sinon j'ai le Site Advisor de McAfee que je trouve super pratique.

Bonne soiré Cyrrus !
jocanak

[Cyrrus]

Bonsoir,

Si l'ordi est sous Linux...pas besoin d'antivirus....le parefeu inclus a la distrib est en général très bien.

Cyrrus

[invite21ea2618]

OK ! Que de bonnes nouvelles !
Merci encore pour ton aide et tout de bon à toi,
jocanak