cheval de troie + fenetres de pub intempestives

[invited0690094]

bonjour,
depuis 2/3 jours, j'ai de multiples fenetres publicitaires qui s'affichent a l'ouverture d'internet explorer. les web pages ont aussi beaucoup de mal a se chargees sur le navigateur. Et enfin, a de rare occasion, les pages publicitaires ont reussi a completement gele l'ordinateur!
j'ai tente dans une premiere approche d'utiliser skybot qui a detecte un trojan (desole, je n'ai pas notifie le nom exact) mais apparement skybot n'est pas apte a l'enlever car j'ai toujours les meme soucis...
donc si quelqu'un pouvait m'aider, je lui en serais tres reconnaissante...
-----

[invited0690094]

re bonjour,
j'ai retrouve le nom du trojan: virtumonde

en esperant que ca puisse aider a regler mon probleme
merci.

[invite9bff601c]

Bonsoir

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

[invited0690094]

bonjour,
j'ai suivi les instructions, malheureusement combofix n'a pas pu completement finir le processus et l'ordinateur s'est eteint sur un grand ecran bleu
cependant combofix a pu creer le rapport que voici.

[A voir en vidéo sur Futura]

[invite9bff601c]

Bonsoir

Ouvre un nouveau document texte et copie/colle le contenu des balises code à l'intéireur :

Code:

KillAll::

Files::
C:\Users\alexandra\AppData\Local\Tempe.exe
C:\Users\alexandra\AppData\Local\Teme.exe
C:\Users\alexandra\AppData\Local\Tee.exe
C:\Users\alexandra\AppData\Local\Te.exe
C:\Users\alexandra\AppData\Local\e.exe
C:\Users\alexandra\AppDatae.exe
C:\Users\alexandra\AppDate.exe
C:\Users\alexandra\AppDe.exe
C:\Users\alexandra\AppDae.exe
C:\Users\alexandra\Appe.exe
C:\Users\alexandra\Ape.exe
C:\Users\alexandra\Ae.exe


Folders::
C:\Users\All Users\kuhirelu
C:\ProgramData\kuhirelu
C:\Users\All Users\valagase
C:\Users\All Users\famusoki
C:\ProgramData\valagase
C:\ProgramData\famusoki
C:\Users\All Users\pazasedo
C:\ProgramData\pazasedo
C:\Users\All Users\teraguba
C:\Users\All Users\lazihiye
C:\ProgramData\teraguba
C:\ProgramData\lazihiye
C:\Users\All Users\nuvanifi
C:\ProgramData\nuvanifi
C:\Users\All Users\fokonefo
C:\Users\All Users\bunosuja
C:\ProgramData\fokonefo
C:\ProgramData\bunosuja
C:\Users\All Users\zifirobo
C:\ProgramData\zifirobo
C:\Users\All Users\nilejonu
C:\Users\All Users\jotogeni
C:\ProgramData\nilejonu
C:\ProgramData\jotogeni
C:\Users\All Users\vupuroke
C:\ProgramData\vupuroke
C:\Users\All Users\vojuzuti
C:\ProgramData\vojuzuti
C:\Users\All Users\famatima
C:\ProgramData\famatima
C:\Users\All Users\sutefuhi
C:\ProgramData\sutefuhi
C:\Users\All Users\fuyizeve
C:\ProgramData\fuyizeve
C:\Users\All Users\debabawe
C:\ProgramData\debabawe
C:\Users\All Users\nubehufa
C:\ProgramData\nubehufa
C:\Users\All Users\havuwawo
C:\ProgramData\havuwawo
C:\Users\All Users\kavotazi
C:\ProgramData\kavotazi
C:\Users\All Users\vatokivu
C:\Users\All Users\nivanuya
C:\Users\All Users\kadawowa
C:\ProgramData\vatokivu
C:\ProgramData\nivanuya
C:\ProgramData\kadawowa

Enregistre le fichier en l'appelant CFScript.txt

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

[invited0690094]

bonjour,
voici le rapport de combofix. cependant j'ai toujours les fenetres IE qui s'ouvrent mais elles sont vide maintenant...

[invite9bff601c]

Bonsoir

1. Télécharger The Avenger par Swandog46 sur votre Bureau.

• Click sur Avenger.zip pour ouvrir le fichier
• Extraire avenger.exe sur votre bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Code:

 
Files to delete:
C:\Users\alexandra\AppData\Local\Tempe.exe
C:\Users\alexandra\AppData\Local\Teme.exe
C:\Users\alexandra\AppData\Local\Tee.exe
C:\Users\alexandra\AppData\Local\Te.exe
C:\Users\alexandra\AppData\Local\e.exe
C:\Users\alexandra\AppDatae.exe
C:\Users\alexandra\AppDate.exe
C:\Users\alexandra\AppDe.exe
C:\Users\alexandra\AppDae.exe
C:\Users\alexandra\Appe.exe
C:\Users\alexandra\Ape.exe
C:\Users\alexandra\Ae.exe

Folders to delete:
C:\Users\All Users\kuhirelu
C:\ProgramData\kuhirelu
C:\Users\All Users\valagase
C:\Users\All Users\famusoki
C:\ProgramData\valagase
C:\ProgramData\famusoki
C:\Users\All Users\pazasedo
C:\ProgramData\pazasedo
C:\Users\All Users\teraguba
C:\Users\All Users\lazihiye
C:\ProgramData\teraguba
C:\ProgramData\lazihiye
C:\Users\All Users\nuvanifi
C:\ProgramData\nuvanifi
C:\Users\All Users\fokonefo
C:\Users\All Users\bunosuja
C:\ProgramData\fokonefo
C:\ProgramData\bunosuja
C:\Users\All Users\zifirobo
C:\ProgramData\zifirobo
C:\Users\All Users\nilejonu
C:\Users\All Users\jotogeni
C:\ProgramData\nilejonu
C:\ProgramData\jotogeni
C:\Users\All Users\vupuroke
C:\ProgramData\vupuroke
C:\Users\All Users\vojuzuti
C:\ProgramData\vojuzuti
C:\Users\All Users\famatima
C:\ProgramData\famatima
C:\Users\All Users\sutefuhi
C:\ProgramData\sutefuhi
C:\Users\All Users\fuyizeve
C:\ProgramData\fuyizeve
C:\Users\All Users\debabawe
C:\ProgramData\debabawe
C:\Users\All Users\nubehufa
C:\ProgramData\nubehufa
C:\Users\All Users\havuwawo
C:\ProgramData\havuwawo
C:\Users\All Users\kavotazi
C:\ProgramData\kavotazi
C:\Users\All Users\vatokivu
C:\Users\All Users\nivanuya
C:\Users\All Users\kadawowa
C:\ProgramData\vatokivu
C:\ProgramData\nivanuya
C:\ProgramData\kadawowa

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

• Sous "Script file to execute" choisir "Input Script Manually".
• Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
• Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
• Cliquer Done
• ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
• Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

• Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
• Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
• Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
• The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir poste le ficher c:\avenger.txt dans votre réponse.

[invited0690094]

bonjour,
voici mon dernier rapport.
merci.

[invite9bff601c]

Bonsoir

refais un scan avec Combofix et poste moi le rapport généré

[invited0690094]

bonjour,
voila le nouveau scan.
j'ai encore eu le droit a un ecran bleu a la fin signalant un probleme!
bonne soiree.

[invite9bff601c]

Bonjour,

J'ai ma petite idée sur le problème, est-ce que tu as toujours des fenetres intempestives ?

[invited0690094]

hello,

et bien il semblerait que les fenetres intempestives ont disparu mais maintenant j'ai des erreurs systemes notamment pendant l'utilisation de IE qui gelent mon ecran en general et je dois faire appel au gestionnaire de tache pour debugger. Parfois cela ne suffit pas donc je suis forcee de couper le courant pour fermer windows de force(ca m'arrive au moins une fois par jour! pauvre laptop!)
Et lors de l'ouverture de ma session windows j'ai trois fichiers DLL manquants. J'ai pas note les noms des fichiers, a mon prochain redemarrage je le ferais et je rajouterais les noms sur le forum.
merci.

[invite9bff601c]

Bonjour,

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Refais moi la manipulation avec RSIT

[invited0690094]

bonjour,
voici les rapports, j'ai lance RSIT plusieurs jours apres Mbam, j'espere que ca n'aura pas de consequences sur les resultats generes dans les rapports.
Sinon je ne rencontre plus de fenetres IE intempestives, ni d'ecran gele. Par contre Avira detecte un virus ou un programme indesirable a l'ouverture de windows live mail! crazy indeed!

merci.

[invite9bff601c]

Bonsoir

Est-ce que tu pourrais me donner la détection de Antivir ?