Pc spyware 2010

[invite102ffa40]

Bonjour, j'ai été infecté par Bravia.exe/PC Spyware 2010.

Je poste ici mes rapports



Merci d'avance pour votre aide
-----

[invitec04351b8]

Bonjour,

belle infection effectivement : Windows pas à jour, Navaigateur pas à jour, console Java pas à jour !!!

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/comb...liser-combofix

* Installe bien la Console de récupération lorsque on te le demandera.

* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

@+

[invite102ffa40]

Merci pour ta réponse rapide.

Je poste le rapport combofix en piece jointe.

C'est vraiment sympa de ta part de prendre le temps de faire ça.

[invitec04351b8]

Bonjour,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Code:

Driver::
nvrfhgrt

Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

<gras>Réactive ton parefeu, ton antivirus, la garde de ton antispyware</gras>

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

===
Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : c:\windows\system32\F48C99BB92 .sys

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

===

Est ce que l'ordi est stable (pas de freeze, pas d'écran bleu) ?

@+

[A voir en vidéo sur Futura]

[invite102ffa40]

Salut, voici les rapports demandés en pj.

Je n'ai pas eu de freeze ni d'écran bleu.
En revanche je reçois toujours des alertes (bien moins fréquentes) concernant des trojans et des virus.
Mes rapports AVG (mon antivir) sont au format .csv
Je ne connais pas cette extension, ni ne sait si elle est lisible facilement par un tiers.

S'il te faut un autre format, fais le moi savoir.

Merci

[invite102ffa40]

je vois d'ailleurs qu'ils n'ont pas été envoyés, je ne sais pas comment faire pour t'envoyer ces rapports

[invitec04351b8]

Re,

laisse de côté le rapport de AVG.

Par contre, je voudrais le rapport de Combofix avec la méthode que je t'ai donné.

Je voudrais aussi que tu me confirmes que tu as bien téléchargé, comme demandé, Combofix et non réutilisé une ancienne version.

Enfin, il faudrait que tu m'expliques ce qui s'est passé vers le 25 aôut.

@+

[invite102ffa40]

Re

Pour le 25 aout, je ne sais pas.
Peux tu m'en dire plus?

Je t'envoie le rapport combofix.
Je pensais l'avoir fait déjà. (du coup, j'envoie celui que je pense avoir fait avant, et celui que je viens de faire)

J'ai bien mis à jour combofix.

[invitec04351b8]

Bonjour,

Télécharge sf;exe ici :

http://pagesperso-orange.fr/NosTools/C_XX/SF.exe

*Double clique sur SF.exe ( clic droit et "Exécuter en tant qu'administrateur" pour Vsta) .

*Une fenêtre Cmd va s'ouvrir .

*Tape

Code:

bravia

dans cette fenêtre et "Entrée" .

*Patiente pendant la recherche .

*Une fenêtre avec un log .txt va s'afficher .

*Copie/colle ce rapport dans ta prochaine réponse .

===

Est ce que l'ordi est stable (pas de freeze, pas d'écran bleu) ?

@+

[invite102ffa40]

hop :


======================== SF 1.0.0.4 - C_XX | 22:50:39,29

Valeur(s) recherchée(s):

bravia


========================= Fichier(s)/Dossier(s):

Aucun fichier/Dossier trouvé.

========================= Registre:

Aucun élément du registre trouvé.

========================= E.O.F | 22:54:17,53



Et tout est stable...

Bon?

[invitec04351b8]

Bonsoir,

refais tourner RSIT et poste le rapport (en fichier attaché).

@+

[invite102ffa40]

Hop

mon rapport en piece jointe

PS : merci de suivre mon cas malgré les délais entre mes réponses!
Je rentre souvent tard et bosse les week end, d'où mes réponses espacées.

[invite102ffa40]

Piece jointe dans cette réponse

[invite102ffa40]

Je complète mon rapport.
Aujourd'hui, AVG m'a signifié qu'il ne pouvait mettre à jour automatiquement.
J'ai essayé de le forcer à s'updater, mais j'ai un message d'erreur qui apparait : a .bin file is missing

[invitec04351b8]

Bonjour,

je me suis absenté quelques jours.

Il n'y a rien d'évident dans le rapport.

C'est a .bin ou a.bin ?

Si AVG n'est toujours pas à jour, fais redémarrer l'ordi, refais tourner RSIT et poste le rapport.

@+

[invite102ffa40]

c'est un fichier .bin qui manque.

Je n'ai plus eu de message d'avast, et il semble avoir fait ses mises à jour.

Je reposte un rapport rsit

à+

[invitec04351b8]

Bonsoir

je veux bien un nouveau rapport RSIT.

Par contre, ma question était très précise

a.bin ou
a .bin

@+

[invite102ffa40]

je citais le message en anglais, qui parlait donc d'un fichier .bin en disant: "there is a .bin file missing" ou quelque chose dans le genre.
c'est donc a plus loin .bin

je poste le rapport que j'avais oublié de joindre

[invitec04351b8]

Bonsoir,

supprime ComboFix.exe sur ton Bureau.

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
a9xt5kuw
Ul1216nkr

File::
C:\WINDOWS\system32\aadcaad.dl l

Registry::
[-HKEY_LOCAL_MACHINE\software\mi crosoft\shared tools\msconfig\startupreg\amva]


Enregistre ce fichier sous le nom CFscript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@+

[invite102ffa40]

Salut!

Je n'ai pas vu ton message en seconde page.
Voici le rapport combofix selon la méthode décrite.

[invitec04351b8]

Bonjour,

pourrais-tu :

- me faire le point de tes soucis

- refaire tourner RSIT et poster le rapport.

Merci.

@+

[invite102ffa40]

Salut!

Eh bien a priori je n'ai plus de souci.
Pas eu de bug, de crash, de messages bizarres depuis tres longtemps.

Je poste mon rapport en pièce jointe.

à +

[invitec04351b8]

Bonsoir,

Copie ou imprime ces instructions avant de les exécuter.

• Déconnecte toi d'internet et ferme toutes tes applications.
• Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
• Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
  
  
  Code:

  Driver::
  abmjwix4
  
  File::
  C:\Documents and Settings\darty\Menu Démarrer\Programmes\Démarrage\sysupd32.exe 
   
  Registry::
  [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]

• Enregistre ce fichier sous le nom CFscript
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

===

Si l'ordi est toujours stable, mets à jour Windows (démarrer, Aide et support, Maintenez ..., tu suis les instructions et tu installes le SP3 et toutes les MAJ critiques).

===

Mets à jour ta console java :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

===

prends un point de restauration propre :

Ouvre ce lien : Restauration du système

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

===

Il restera à désinstaller les outils (si tout s'est bien passé) et quelques recommendations de sécurité.

@+