Infection par un trojan blphcg2ssj0e39a.scr

[invitebefa4625]

Bonjour,

En surfant sur un site de vidéos en streaming sous windows j'ai été infecté par un trojan dont le nom est celui indiqué dans le titre (je l'ai trouvé grâce à une analyse avec AVG 7.5).
J'ai eu une désactivation intempestive du pare-feu windows puis le fond d'écran est devenu bleu avec une message s'affichant au mileu m'indiquant que j'avais été infecté par un virus.
Le trojan a plusieurs effets, tout d'abord, je ne peux plus configurer mon écran de veille sous windows, ensuite lorsque je lance firefox et que je recherche certain sites (comme l'équipe.fr) je suis redirigé vers une autre page qui me semble être un autre moteur de recherche. Certaines recherches marchent et d'autres pas, je n'en ai pas trouvé d'explication. Ce qui marche avec certitude c'est si j'accède aux marque-pages entrées dans mon navigateur. Le nettoyage avec AVG ne suffit pas apparemment, je pense parce que je n'ai pas combiné AVG avec un anti-spyware.

Je sollicite donc votre aide pour me permettre de me débarrasser de ce petit intrus dans mon système.
Merci d'avance pour votre aide.
Cordialement.
.
P.S:J'ai le double boot et j'utilise en ce moment Ubuntu, si cela peut simplifier les choses...
-----

[Cyrrus]

Bonjour,

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

-------------------------------------------------------------
Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

----------------------------------------------
Télécharger OTMoveIt2 par OldTimer.

• Enregistrer ce fichier sur le Bureau.
• Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
• Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  
  
  Code:

  c:\windows\system32\blphcg2sj0e39a.scr 
  c:\windows\system32\phcg2sj0e39a.bmp
  c:\windows\system32\lphcg2sj0e39a.exe 
  c:\Documents and Settings\Utilisateur\Local Settings\Temp\5lrve2lw.exe
  c:\Program Files\Adverts
  c:\Documents and Settings\Utilisateur\Application Data\Microsoft\Installer\{1D482DB0-948E-4F16-908F-1320988F2705}

• Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.
• Cliquer sur le bouton rouge Moveit!.
• Fermer OTMoveIt2

Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

-----------------------------------------

Bonne soirée
Cyrrus

[invitebefa4625]

Bonjour,
Merci pour ta réponse rapide et pour toutes ces instructions. Tu trouveras les rapports des 3 programmes dans les pièces jointes.
A+

[Cyrrus]

Bonsoir,

Tu devrais imprimer ces instructions, ou les copier dans le Blocnote pour les lire lorsque tu
sera en Mode sans échec, car tu n'auras pas accès à Internet pour les lire.

Ensuite, redémarre ton ordinateur en Mode sans échec en faisant ceci :

• Redémarre ton ordinateur
• Après avoir entendu un beep de ton ordinaeur, mais avant que l'icone Windows apparaisse, taopte la touche F8;
• A la place du chargement normal, un menu avec des options devrait appraitre;
• Sélectionne la première option, pour démarrer Windows en Mode sans échec, et ensuite appuie sur "Entrée".
• Choisis ton compte courant.

Une fois en Mode sans échec, double-clique sur SmitfraudFix.exe
Selectionne l'option #2 - Nettoyage en tapant 2 et appuie sur "Entrée" pour supprimer les fichiers infectés.

A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu..

Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.; si ce n'est pas le cas, redémarre en mode normal manuellement.
Un rapport sera généré, avec les résultats de l'opération de nettoyage; poste ce rapport dans ta prochaine réponse.
Le rapport peut être trouver à la racine du disque système, souvent C:\rapport.txt

Attention : L'option 2 pourra supprimer le fond d'écran.

----------------------

Refais un rapport diaghelp, et poste le.

Cyrrus

[A voir en vidéo sur Futura]

[invitebefa4625]

Re-bonjour,
J'ai effectué les scans que tu m'as demandé et j'ai joint les rapports. J'ai aussi une question: est-ce normal que AVG détecte DiagHelp en tant que cheval de Troie?

Encore merci.

[Cyrrus]

Bonjour,

est-ce normal que AVG détecte DiagHelp en tant que cheval de Troie?

Oui et non. Non parce que Diaghelp n'est pas un malware (ce serait le comble), et oui parce que les antivirus détectent certains composants de diaghelp comme potentiellement dangereux (sans qu'il ne le soit réellement).

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Pour une aide visuelle, n'hésite pas à lire ce tutorial : Aide pour Combofix

Bonne journée
Cyrrus

[invitebefa4625]

Bonjour,
Voici les rapports de combofix et hijackthis

A bientôt.

[Cyrrus]

Bonjour,

Où en sont les symptômes ?

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Cyrrus

[invitebefa4625]

Bonjour,
Au niveau des symptômes, ils ont tous disparu:le fond d'écran est revenu normal et j'ai de nouveau accès à la configuration de mon écran de veille,pour finir la naviagation internet peut s'effectuer sans problèmes. Je te met en pièce jointe le rapport kaspersky
Bonne journée.

[Cyrrus]

Bonsoir,

Un dernier scan de controle :

Téléchargez OTViewIt sur votre Bureau.

• Fermez toutes les fenêtres de programme, puis lancez-le
• Cliquez sur le bouton Run Scan et laissez le programme tourner sans l'interrompre
• Il va produire deux rapports (logs), l'un d'eux nommé OTViewIt.txt va s'ouvrir dans le Bloc-notes, l'autre nommé Extras sera enregistré sur le Bureau. Envoyez ces deux logs en réponse.

[invitebefa4625]

Bonsoir,
Voici les deux rappports crées par OTViewIt.