spyware/malware

[invitea2b3af56]

Bonjour,

Depuis quelques jours j'ai ce message de windows : "your computer is infected" accompager d'une désactivation du pare feu et du gestionnaire des tâches (reactiver depuis) qui laisse penser à une
infection.

Merci d'avance.
-----

[invite275db609]

Bonjour

Et bien, ta machine est vraiment bien infectée (WareOut, ver msn, certainement smitfraud vu les symptômes que tu décris) ... tu devrais faire attention à ce que tu fais sur internet, les sites de fesses, de cracks, le P2P sont vraiment à déconseiller...

Voilà ce qu'on va faire :

• Télécharge FixWareout, de LonnyRJones sur le bureau.
• Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
• Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.
• Quand ton système aura redémarré, suis les invites des messages.
• A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.
• Au final, poste le contenu de C:\fixwareout\report.txt en pièce jointe, bien sur.

====================

• Télécharge SmitfraudFix de S!Ri.
• Double-clique sur SmitfraudFix.exe.
• Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée"; un texte va apparaitre, qui liste les fichiers infectés si présent.
• Poste le rapport dans ta prochaine réponse, en pièce jointe.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm

=====================

• Télécharge MSNFix (de !aur3n7) sur ton bureau.
• Décompresse-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
• Exécute l'option R.
• Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.
• Sauvegarde ce rapport puis post ce rapport sur le forum, en pièce jointe.
  Note :
  Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
• Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

=====================

Redémarre l'ordinateur en mode sans échec.

• Double cliquer sur smitfraudfix.exe
• Sélectionne 2 pour supprimer les fichiers responsables de l'infection.
• A la question Voulez-vous nettoyer le registre ? répond O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
• Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répond O (oui) pour remplacer le fichier corrompu.
• Redémarre en mode normal et poster le rapport sur le forum, en pièce jointe.

N.B. : Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm

=====================

Ta machine devrait déjà commencer à respirer un peu, mais je pense qu'on est loin d'avoir terminé, ne crie pas vistoire tout de suite.
Poste les rapports demandés : FixWareOut, SmitFraudFix option 1 et 2 et MSNFix.

Bonne fin de journée.

[invitea2b3af56]

voici les rapports sauf MSNFix sous forme date_heure.txt que j'ai pas trouvé.

[invite275db609]

Bonjour

Bon, je t'ai fait passer un outil pour rien, les symptômes que tu décrivais faisait vraiment penser à un desktop hijack. Tu peux déjà désinstaller SmitFraudFix.

Bizarre pour MSNFix, je me renseigne à la source.

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y et Entrée pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse, en pièce jointe, sur le forum.

Bonne fin de journée.

[A voir en vidéo sur Futura]

[invitea2b3af56]

bonjour,

le rapport :

[invite275db609]

Bonjour

Merci, on peut constater le bon travail de SDFix.

SDFix n'a pas tout supprimé, il reste des 'cochonstées' :
Suite à une demande expresse de sUBs, developpeur de ComboFix, nous devons passer par le tutorial de BleepingComputer :
Suis stp, la procédure indiquée sur cette page et reviens ensuite ici poster le rapport généré.

[invitea2b3af56]

'jour

Merci, on peut constater le bon travail de SDFix.

oui et j'ai l'impression qu'il en est de même pour combofix

[invite275db609]

Bonjour

Super, bon boulot.
Encore quelques vérifications (la machine va mieux ?) :
Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

================

• Fais un scan en ligne Kaspersky (avec Internet Explorer, IMPORTANT)
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Poste ce rapport en pièce jointe dans ta prochaine réponse.

================

Poste les 2 rapports : MBAM et KasperskyOnline stp.

Bonne fin de journée.

[invitea2b3af56]

'jour

la machine va beaucoup mieux
même si il reste pas mal de truc :

[invite275db609]

Bonjour

Bon boulot encore une fois, bravo. Finissons le travail :

Télécharger OTMoveIt2 par OldTimer.

• Enregistrer ce fichier sur le Bureau.
• Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
• Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  
  Code:

  C:\Documents and Settings\All Users.WINDOWS2\Application Data\eq2amoklink
  C:\Documents and Settings\All Users.WINDOWS2\Menu Démarrer\Programmes\Télécharger des logiciels.exe
  C:\Documents and Settings\BOISSAT ALAIN\arpfji.MSNFix
  C:\Documents and Settings\BOISSAT ALAIN\cszbbt.MSNFix
  C:\Program Files\Adverts
  C:\SDFix\backups\EROCA.EXE.0.AVB
  C:\WINDOWS2\7-7c15eb3352bcc3049d7e9e974ad283bf.exe
  C:\WINDOWS2\7-7c15eb3352bcc3049d7e9e974ad283bf.exe
  C:\WINDOWS2\system32\dfkfku.exe
  C:\WINDOWS2\system32\fttfcs.exe
  C:\WINDOWS2\system32\jltwnk.exe
  C:\WINDOWS2\system32\nsvvwf.exe
  C:\WINDOWS2\system32\qodjnk.exe
  C:\WINDOWS2\system32\SearchEnhancer\nse98.dll
  C:\WINDOWS2\system32\SearchEnhancer\SearchEnhancer.dll
  C:\WINDOWS2\system32\skwxkh.exe

• Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.
  
• Cliquer sur le bouton rouge Moveit!.
• Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.
• Fermer OTMoveIt2

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles, en pièce jointe.


Bonne fin de journée.

[invitea2b3af56]

j'ai un petit problème, OTMoveIt2 plante à chaque fois que j'essaye de récupérer le rapport, sauf que ça fonctionne sans ces trois dernières lignes :

C:\WINDOWS2\system32\SearchEnh ancer\nse98.dll
C:\WINDOWS2\system32\SearchEnh ancer\SearchEnhancer.dll
C:\WINDOWS2\system32\skwxkh.ex e

je poste quand même le log

[invite275db609]

Bonjour

Merci pour le rapport (à priori, les fichiers avaient déjà été déplacés, puisque non trouvés).
Vérifie si ce dossier existe toujours :
C:\WINDOWS2\system32\SearchEnhancer
Dis moi ce qu'il en est.
Ta machine se comporte bien ? Plus de dysfonctionnements ?

Bonne fin de journée.

[invitea2b3af56]

'jour

le dossier existe et sinon pour ce qui du pc, il n'y a plus de dysfonctionnements.

[invite275db609]

Bonjour :hello:

Redémarre en mode sans echec.
Supprime le dossier C:\WINDOWS2\system32\SearchEnhancer

===================

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

Supprime ComboFix en faisant ceci :
Menu Démarrer --> Exécuter --> saisie ensuite ceci et valide :

Code:

"%userprofile%\Bureau\combofix.exe" /u

Désinsalle/supprime tout ce que je t'ai fait télécharger (tous les outils de désinfection ainsi que leur dossier respectif , je te conseille de conserver MBAM pour un scan hebdomadaire).

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Infections
Ton infection était Packed.Win32.PolyCrypt.d, Backdoor.Win32.Hupigon.bnca, Trojan.Win32.Obfuscated.en, AdWare.Win32.Insider.i, AdWare.Win32.Beginto.f, Trojan-Downloader.Win32.Small.tnt, Trojan-Downloader.Win32.Small.tnt

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne fin de journée

[invitea2b3af56]

ok, merci synthexe