Trojan Generic 10 IRR

[invite575e0438]

Bonjour à l'équipe,
A nouveau, après les bons soins d'Igor, il y a quelques mois, j'ai choppé un truc. Comme conseillé dans la procédure génerale, vous troverez ci-joint les rapports d'analyse Diaghelp et Hijackthis.
Merci par avance
-----

[invite575e0438]

Une précision: Avast-antivirus n'a pas pu scanner 52 fichiers (?)
A bientôt
Jekill

[invitebf5cd8b2]

Bonsoir,

Vu l'infection c'est ton comportement trop imprudent qui t'a infecté (installation d'un codec pour voir une vidéo par exemple). Si tu ne changes pas ton comportement tu reviendras tout les 6 moi,s et nous ne seront pas toujours là...

Télécharge Navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton Bureau.

Double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. Enregistre le rapport sur ton Bureau.

Poste le, en pièce jointe, dans ta prochaine réponse.

Note : Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Cyrrus

[invite575e0438]

Bonjour Cyrrus et merci de bien vouloir vous occuper de moi
Voici le rapport Navilog comme demandé.
A bientôt pour vos instructions
Jekill

[A voir en vidéo sur Futura]

[invitebf5cd8b2]

Bonjour,

Télécharger OTMoveIt2 par OldTimer.

• Enregistrer ce fichier sur le Bureau.
• Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
• Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  
  Code:

  C:\WINDOWS\System32\whofaxeh.exe

• Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.
• Cliquer sur le bouton rouge Moveit!.
• Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.
• Fermer OTMoveIt2

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

-------------------------------
Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Bonne journée
Cyrrus

[invite575e0438]

Bonjour Cyrrus,
J'espère avoir fait la manip correctement car le programme n'a rien trouvé.Voici tout de même ce que j'ai copiéFile/Folder C:\WINDOWS\System32\whofaxeh.e xe not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04112008_103
Je précise que je n'ai plus de signalement depuis que j'ai repassé mon anti-virus.

[invite575e0438]

Rebonjour,
Je m'aperçois que je ne me suis pas occupé de MBAM. J'y cours
Merci pour tout bonne journée Cyrrus
Jekill

[invite575e0438]

Rerebonjour Cyrrus
Il y a comme un pb. Quand j'ai laissé mon PC continuer MBAM , le résultat partiel de l'analyse complète donnait 7 infections. A mon retour du repas, analyse terminée le log affiche zéro fichier infecté et durée 10 sec! De plus, impossible de copier le log sur le bureau. Soit il n'y a rien a poster sur le forum soit les infections ont été traitées. Je vais essayer de récupérer mbam-log de manière détournée et vous le coller en pièces jointes mais rien n'est moins sûr.
Toutes mes excuses pour ce long baratin...
Merci pour votre indulgence.
Jekill

[yoda1234]

Bonjour,

d'après ton log, tu as pratiqué un examen rapide.
Si tu veux retrouver d'éventuels autres rapports, tu cliques sur l'onglet "Rapports/logs" de MBAM comme indiqué sur l'image en pièce jointe.

[invite575e0438]

Merci et bonsoir grand Yoda
Bien que mes droits limités ne m'aient pas permis de lire votre pièce jointe, j'ai refait une analyse MBAM et obtenu le grain à moudre que voici à bientôt pour les instructions.
Jekill

[invite575e0438]

Bonsoir,
Je vous prie de trouver le log d'une nouvelle recherche par MBAM. J'ai pris la liberté comme suggéré à la fin de l'analyse, de déclencher la suppression des fichiers infectés. Est-ce suffisant dans mon cas ?
Bonne soirée et bon WE
Jekill

[invitebf5cd8b2]

Bonsoir,

J'ai pris la liberté comme suggéré à la fin de l'analyse, de déclencher la suppression des fichiers infectés

Il était bien indiqué dans le discours que j'ai posté qu'il fallait supprimer ce qui était trouvé.


Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne soirée
Cyrrus

[invite575e0438]

Cher Cyrrus bonjour,
Voici ce que Kaspersky a trouvé au dernier scan (le 1er interrompu inopinément après un peu plus de 2 h d'analyse !)
A bientôt et merci pour vos instructions
Jekill

[invite575e0438]

Malheur, je ne vois pas le post rapport Kaspersky ! Nouvel essai avec fichier .text

[invitebf5cd8b2]

Bonsoir,

Où en sont les symptômes ? Ce qu'à trouvé Kaspersky n'est pas méchant...donc pour moi tu es clean.

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Clique sur « Appliquer »
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

Suppression des outils utilisés

• Télécharge ToolsCleaner sur ton Bureau:
  
  http://pagesperso-orange.fr/AceRoths...lsCleaner2.exe
  ou
  http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
  
  
• Clique sur Recherche et laisse le scan se terminer.
• Si tu as Vista fais un clic droit sur ToolsCleaner > Exécuter en tant que..
• Clique sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options facultatives.
• Clique sur Quitter, pour que le rapport puisse se créer.
• Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Discours de Prévention

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

[invite575e0438]

Bonjour Cyrrus,
Je viens de faire le nettoyage avec le Tools cleaner et voici ce que ça donne.
Merci et à bientôt pour conclure. Bon dimanche

[invitebf5cd8b2]

Bonjour,

C'est ok. Pense vraiment à sécuriser ta machine, nous ne serons pa toujours là.

Cyrrus

[invite575e0438]

Merci Cyrrus. J'ai créé un compte limité mais suis em..bété par un Update d'IE7 qui me demande de passer en admin. Ca doit être tout simple mais comment accorder temporairement les droits étendus à un utilisateur limité? C'est nouveau pour moi. D'autre part après avoir fait un tour sur Zebulon, Comment ça marche et autre Libellule j'ai viré Avast pour Antivir et mis Zone Alarm à la place de mon firewall. Tout le reste a été enlevé sauf Avast Antimalware. J'espère qu'en regardant où je mets les pieds ça permettra de ne pas vous enquiquiner avec le résultat de mes négligences Encore merci et pas à bientôt !