Probablement un malware. Que faire?

[invite9fb1e6d9]

Bonjour,
Je me retourne vers vous...et vos connaissances pointues.
Cela fait plus d'un an que je ne m'étais plus rien pris mais cette fois....c'est fait!

Je suis sous XP avec Panda en ligne comme antivirus.
En quelques minutes, il m'a détecté 3 bizarreries:
1. W32/Gaobot.oxi.worm. Détecté et désinfecté. N'est apparu qu'une fois. était dans system32/msv.exe
2. Rootkit/Agent.KHH. Détecté et déplacé. Le détecte et le déplace sans arrêt. Dans system32/drivers/nomvariable.sys
3. Linux/HijackB. Détecté et désinfecté. Le détecte et le déplace sans arrêt. Dans docume1/yves/locals1/temp/nomvariable.

En outre,
J'ai fait tourner mon antivirus en étant déconnecté du net.
La première fois, ne trouve rien et la seconde, trouve 3 fois le même dialer: Dialer.ABR. IL les met en quarantaine
Trouvés dans trois endroits différents, à savoir:
windows/downloadedprogramfiles/startbd.inf
windows/downloadedprogramfiles/startbf2.inf
windows/lastgood/downloadedprogramfiles/startbd.inf

enfin, pour couronner le tout, j'ai sans cesse ces quelques adresses qui tentent de se connecter à ma machine (adresse aléatoire):
russia.blacktiehsbdcs.com
bti.jeiahsdod.net
abc.ihshsd8.com
jiets.soidudrf.com
munirah.magitiriheiwu.net....

D'avance, je vous remercie pour l'aide que vous pourrez m'apporter.
Bien à vous
-----

[JPL]

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
• Clique Continue à l'écran Disclaimer.
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le log.txt (<<qui sera affiché)
  ainsi que info.txt (<<qui sera réduit dans la Barre des Tâches).

Poste ensuite les rapports en pièces jointes et attend que ton cas soit pris en charge par le groupe antimalware.

[invite9fb1e6d9]

Bonjour,
Impossible d'utiliser le trombone pour joindre les rapports....
Tout semble bloquer.

Entre temps, je suis aussi touché par trj/downloader.MDW

[JPL]

As-tu essayé de relancer ton navigateur ? S'il y a toujours le problème ensuite peux-tu essayer avec un autre ?

[A voir en vidéo sur Futura]

[invite9fb1e6d9]

Rien n'y fait...
J'ai les rapports; j'ai su les mettre sur mon mail mais impossible de les joindre ici.
Je les mettrai ici dans le courant de la soiree à partir d'un autre pc.
Merci

[invite9fb1e6d9]

Re,
Vous trouverez les fichiers ci-joints.
A savoir: j'ai fait tourner ccleaner après l'infection et peu de temps avant de vous contacter.
Merci et bonne soiree.

[igor51]

Bonsoir

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

[invite9fb1e6d9]

Bonsoir,
Vous trouverez ci-joint le rapport d'antimalware.
Merci de me dire si il y a encore lieu de faire qqch.
Et si vous saviez me dire d'où pouvaient provenir mes problèmes...(pour autant que j'y suis pour qqch).
Bien à vous.

[igor51]

Bonjour


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

[invite9fb1e6d9]

Bonsoir,
En me connectant ce matin avant de passer SDFIX, Panda détectait TRJ/Mailbot.ED et le pc voulait constamment se connecter à nl2.bigolder.info

De ce fait, j'ai refait tourner Antimalware sur mon PC. Il a redetecté des éléments que j'ai supprimé.
Dans la foulée, j'ai fait tourner SDFIX et RSIT. Voir les rapports ci-dessous.

Il semble, même si ma machine est moins lente, que le trojan est encore toujours présent.

Merci de votre aide.

[igor51]

Bonjour

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

[invite9fb1e6d9]

Bonjour

Dans l'intervalle de temps, suite à un conseil, j'ai désinstallé Panda et l'ai remplacé par avast.
Avast a détecté une dizaine d'infections qu'il a nettoyé.

Le probleme subsistant, j'ai refait tourner Antimalware et SDFIX. Voir rapports joints.

APRES, j'ai fait tourné Combofix (cfr rapport joint).

Quel est votre verdict?

Merci d'avance.

[invite9fb1e6d9]

Rebonjour,
Suite à mon poste précédent et APRES avoir fait tourner Combofix,
J'ai refait un check RSIT et Antimalware.
Il semblerait que la situation se normalise.
Quel est votre avis à la vue de ces 5 derniers logs?
Merci.

[JPL]

Avast est une mauvaise idée. Choisis plutôt Antivir ou AVG Free nettement plus efficaces.
D'autre part je constate que tu ne peux pas t'empêcher d'improviser sans attendre l'avis de quelqu'un de qualifié. Tant mieux si ça marche (attends toutefois l'avis d'Igor) mais à la place de ce dernier je serais un peu agacé.

[invite9fb1e6d9]

Désolé si j'ai choqué qui que ce soit.
Ce n'était pas mon but...
Je cherche surtout à tenter de libérer ce pc de qqun de ma famille assez rapidement.
Merci pour tout. Bonne soiree.

[igor51]

Bonjour
Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

[igor51]

Bonjour
Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

[invite9fb1e6d9]

Bonsoir,

Il m'est impossible de faire tourner Kaspersky sur ce pc...
En effet, Apres plus d'une heure de scan, cela bloque à 45%.
Il semble qu'il bloque sur Iomega Automatic Backup Pro.msi (C'est le programme gérant mon disque dur externe)....

Bonne fin d'année et à l'année prochaine.

[igor51]

Bonsoir


Étape 1:
Télécharge eScan Antivirus Toolkit Here. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ferme le programme ("Exit"). Ferme également toutes les fenêtres de l'Explorateur (ou du "Poste de Travail").

4.) *Important* : afin de compléter la mise à jour, il te faut maintenant faire ce qui suit :

- Via l'Explorateur Windows ou le Poste de Travail, navigue vers le répertoire C:\Downloads et Copie tout son contenu
- Colle tout le contenu dans le répertoire C:\Kaspersky
- Accepte le remplacement des fichiers existants
- Ferme l'Explorateur (ou le Poste de Travail).

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec :

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer la procédure ( ou, événtuellement, de l'enregistrer dans un fichier texte ).

• Clique sur le bouton Démarrer
• Clique sur Arrêter l'ordinateur
• Dans la fenêtre qui s'ouvre : clique sur Redémarrer
• Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
• Utilise les touches de direction pour sélectionner le mode sans échec voulu ("Mode sans échec")
• Appui sur la touche Entrée
• Attends la fenêtre avec le choix des sessions ( noms d'administrateurs ).
• Choisis ta session usuelle.
• Une nouvelle fenêtre s'affiche "Bureau" : clique sur OUI

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui activera All Local Drive (bouton rond) juste dessous; assure-toi que ce dernier est bien activé.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde-le. **L'outil ne te laissera pas faire un "Copier/Coller" avec sélection du texte avec la souris; tu devras cliquer une fois dans la fenêtre "Virus Log Information", puis presser les touches "CTRL" et "C" simultanément et ensuite "CTRL" et "V" pour coller le texte dans le fichier du Bloc-notes. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

[invite9fb1e6d9]

Bonjour,
Bien que j'ai su mettre mon rapport sur mon bureau il est trop gros (23MO).
Vous trouverez ci-joint la fin de ce rapport.
Si il faut autre chose ou procéder autrement, dites le moi.
Grand merci