Virus persistant

[an1844]

Bonjour,

Depuis hier après midi, j'ai un virus sur mon PC.
Cela ressemble à une « proposition forcée » d’acquisition d’un anti virus, sous les noms de xp-police-av ou ie-security, le tout en anglais.
Mon anti virus, BitDefender, n'a pas totalement rempli sa tache, même avec les dernières mises à jour. Lors de l’agression, il a détecté une grande quantité de choses, mais c'est passé....j’en suis probablement responsable !!!!
Ce virus a :
1 - modifié mon fond d'écran, j'ai maintenant un "mélange" de rectangles bleus rouges jaunes ...., je ne peux plus modifier ce paramètre, l’onglet « Bureau » de « Propriétés de Affichage » est presque figé, je n’ai plus le choix de l’ Arrière plan, ; la barre de défilement est bloquée en bas et je ne peux que changer la couleur !!!
2 - "interdit" l'accès au Gestionnaire de taches "Le Gestionnaire de taches a été désactivé par votre administrateur";
3 - "interdit" l'accès à Regedit (Démarrer, Exécuter, tape Regedit....) "La modification du Registre a été désactivée par votre administrateur";
4 - affiché un très grand nombre de messages (en Anglais), me prévenant de la présence de virus sur mon poste et me proposant de réaliser un scan immédiatement ; tous ces messages provenaient d’un rond rouge avec une X blanc (en bas à droite sur l’écran, à coté de l’heure) ;
5 - affiché un très grand nombre de messages (en Anglais), me prévenant de la présence de virus sur mon poste et me proposant de réaliser un scan immédiatement, tous ces messages étaient affichés dans des fenêtres au centre de l’écran ;
6 – empêché le paramétrage « Résident » de la partie Antivirus de BitDefender, le reste Pare-feu, Antispam, Contrôle Vie privée, Contrôle Parental et Mise à jour étaient OK.

Je dispose de :
- CCleaner V2.16.830 (version gratuite), je l’utilise quotidiennement ;
- BitDefender Internet Security 2008 (version payante si si), 1 analyse approfondie toutes les 24h00, mise à jour toutes les heures, il semble qu’il ne fonctionne pas en mode sans échec ;
- Un niveau d’anglais env. 5ème, faudra être tolérant ;
- Un niveau informatique débutant, faudra faire avec.

CCleaner n’a rien résolu, il n’a juste permis de cibler xp police av et ie security.
Bitdefender a trouvé 1 virus et je l’ai supprimé. Ensuite plus rien …..
Ce midi j’ai redémarré mon PC en « Mode sans échec » : rédémarrer, puis F8 (tap, tap, toutes les secondes), et j’ai demandé un redémarrage dans la « Dernière bonne configuration connue ». Cela avait très bien fonctionné lors d’une attaque précédente (ordinateur extrêmement lent). A ce coup ci, moins bien, les PB 4, 5 et 6 semblent résolus, mais 1, 2 et 3 persistent.

Je souhaite prendre un peu plus d’autonomie sur le sujet, et ainsi éviter de solliciter « encore » un ami informaticien

Je suis surement trop long, merci de votre patiente et de votre aide

A+
-----

[invitebf5cd8b2]

Bonjour,

Je souhaite prendre un peu plus d’autonomie sur le sujet, et ainsi éviter de solliciter « encore » un ami informaticien

Sage et courageuse décision...on va t'aider du mieux qu'on peux.

Commence par suivre la procédure préliminaire.

Une fois celle ci faite :

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

Les rapports doivent être posté en pièces jointes (on t'explique comment dans la procédure préliminaire).

Bonne soirée
Cyrrus

[an1844]

Re bonjour,

Ci-joint, les 3 rapports demandés :
Merci à Cyrrus et au Groupe Antimalware, vous savez aussi "gérer" les débutants !!!!

[invitebf5cd8b2]

Bonsoir,

Ok, tu as une nouvelle variante, et un rootkit pas jojo. Avant de s'en occuper, on va juste envoyer un fichier à S!Ri (créateur de Smitfraudfix). Rien de compliqué :


Rend toi ici http://siri.urz.free.fr/upload/

Ensuite il faut copier-coller l'adresse du forum où il y a ses posts et ses logs. Dans ton cas :

Code:

http://forums.futura-sciences.com/securite-malwares-desinfectez-machine/288097-virus-persistant.html

Puis copier-coller dans la seconde ligne (à côté du bouton [Parcourir...]) le chemin du fichier à uploader :

Code:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wndutl32.dll

Enfin cliquer sur [Upload]

Voilà, si tu as un problème dis le. Ensuite on s'attaque à la désinfection.

Bonne soirée
Cyrrus

[A voir en vidéo sur Futura]

[an1844]

Bonsoir,

Echec, à 2 reprises, première fois, à partir de ma boite au lettre, seconde fois à partir du forum.

Meme message d'erreur, voir ci dessous

Erreur taille du fichier incorrecte.
La taille de fichier maximum est de 600 Ko


Merci et à demain.

[invitebf5cd8b2]

Re,

Ok, ca arrive, le fichier est un peu gros. Fais la même chose à cette adresse : http://www.bleepingcomputer.com/subm...php?channel=12

C'est de l'anglais mais rien de différent :
Link to topic where this file was requested: = Lien vers le message du forum où le fichier a été demandé:

Browse to the file you want to submit: = Fichier:

Nuit bonne
Cyrrus

[an1844]

Bonjour,

Fait, ci dessous le message réponse de Bleepingcomputer :

Your file was successfully submitted. Please let the user helping you know that you have submitted the file.

A+

[invitebf5cd8b2]

Bonjour,

Ok, super. Merci de ton aide

Tu devrais imprimer ces instructions, ou les copier dans le Blocnote pour les lire lorsque tu
sera en Mode sans échec, car tu n'auras pas accès à Internet pour les lire.

Ensuite, redémarre ton ordinateur en Mode sans échec en faisant ceci :

• Redémarre ton ordinateur
• Après avoir entendu un beep de ton ordinaeur, mais avant que l'icone Windows apparaisse, taopte la touche F8;
• A la place du chargement normal, un menu avec des options devrait appraitre;
• Sélectionne la première option, pour démarrer Windows en Mode sans échec, et ensuite appuie sur "Entrée".
• Choisis ton compte courant.

Une fois en Mode sans échec, double-clique sur SmitfraudFix.exe
Selectionne l'option #2 - Nettoyage en tapant 2 et appuie sur "Entrée" pour supprimer les fichiers infectés.

A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu..

Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.; si ce n'est pas le cas, redémarre en mode normal manuellement.
Un rapport sera généré, avec les résultats de l'opération de nettoyage; poste ce rapport dans ta prochaine réponse.
Le rapport peut être trouver à la racine du disque système, souvent C:\rapport.txt

Attention : L'option 2 pourra supprimer le fond d'écran.

-----------------------------

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne journée
Cyrrus

[an1844]

Re Bonjour,

J’ai gaffé !!, par ignorance et en toute bonne foie, je pense que cela n’a pas trop de conséquences.

Pour info (pour tous ceux comme moi qui sont des débutants et qui suivent nos échanges sur le forum), lorsque Cyrrus répond à une discussion, un message est envoyé automatiquement sur la boîte mail du « demandeur », avec tout ou partie de la réponse de Cyrrus. Et si comme moi, vous vous contentez d’appliquer que ce qui est écrit sur ce message (malgré la présence « en évidence » des liens directs pour retourner au forum). Vous aurez peut-être la mauvaise surprise lorsque vous souhaiterez répondre à votre tour, cette fois sur le forum, que M____E quel C_N que je suis, Cyrrus a écrit une 1ère partie dans sa réponse du forum, qui n’a pas été « reportée » sur ma messagerie.

En résumé, je n’ai pas appliqué la 1ère partie, de : Tu devrais imprimer …. Jusqu'à : Attention : L'option 2 pourra supprimer le fond d'écran.

La 2nd partie « ComboFix », a plutôt bien fonctionné, si ce n’est une demi douzaine de messages me demandant si je souhaitais fermer l’application VisageON, j’ai fini par répondre non, puis plus rien.
Le rapport est ci-joint.

Pour info :

1 - Je peux, à nouveau, modifier mon fond d’écran. Seule petite curiosité "^~tmp", à la fin de la liste de mon Arrière-plan (je ne l’avais jamais remarqué avant ???) :

2 et 3 - J’ai, de nouveau, accès au Gestionnaire de taches et à Regedit.

Question :

Dois-je faire la 1ère partie ?

A+