PC spyware 2010 (encore !)

invite39204b85 · 26/09/2009, 16h19

Bonjour à tous,

Comme beaucoup d'autres, je me trouve coincé avec ce virus.
J'ai donc suivi scupuleusement la procédure et voici donc le rapport de RSIT:

Je fais suivre le fichier .info

invite39204b85 · 26/09/2009, 16h26

Le fichier info

invite4c6c2965 · 26/09/2009, 16h32

Salut,

Télécharge ComboFix (de sUBs) renommé en toulousaing.exe:
- Sauvegarde le sur ton Bureau.
- Double-clique sur toulousaing.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

invite39204b85 · 26/09/2009, 17h20

Merci bien de cette réponse ultra rapide !
Au préalable, j'ai fait une analyse du disque à partir d'une autre machine avec Nod32 à jour: 50 infections
Au redémarrage de la PC en question, tout fonctionne normalement à l'exception d'internet.
J'ai donc ensuite appliqué la procédure décrite et voici donc le rapport de ComboFix:

A voir en vidéo sur Futura · Aujourd'hui

invite39204b85 · 26/09/2009, 17h25

Il semblerai qu'une autre saloperie se soit installée dans ce PC: msword98 et qu'elle y soit toujours !

invite4c6c2965 · 26/09/2009, 18h08

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

File::
c:\documents and settings\Marc\Local Settings\Application Data\siciwejo.bin
c:\documents and settings\Marc\Application Data\soje.dat
c:\program files\Fichiers communs\xigytawy.dll
c:\program files\Fichiers communs\hicacazi.dl
c:\documents and settings\All Users\Application Data\sotabefyxa.bin
c:\program files\Fichiers communs\ixokupeqor.dll
c:\windows\system32\rozenujix.scr
c:\documents and settings\Marc\Application Data\logoco.scr
c:\documents and settings\Marc\Application Data\dazi.exe
c:\documents and settings\All Users\Application Data\iqokiw.pif
c:\program files\Fichiers communs\fowozuw.pif
c:\program files\Fichiers communs\umogytacun._dl
c:\documents and settings\Marc\Application Data\ezyj.exe
c:\documents and settings\All Users\Application Data\avytyvebe.sys
c:\windows\orexoxob.com
c:\documents and settings\All Users\Application Data\uzyted.sys
c:\documents and settings\Marc\Application Data\ujig.pif
c:\documents and settings\Marc\Application Data\ehire.dll
c:\documents and settings\Marc\Application Data\ekokojy.scr
c:\program files\Fichiers communs\okiguj.dat
c:\program files\Fichiers communs\ujib._dl
c:\windows\system32\uzoqes.com
c:\documents and settings\Marc\Local Settings\Application Data\lohomib.exe
c:\program files\Fichiers communs\nocuno._sy
c:\documents and settings\All Users\Application Data\paqy.pif
c:\windows\delenute.pif
c:\documents and settings\Marc\Local Settings\Application Data\gifiqod.exe
c:\documents and settings\Marc\Local Settings\Application Data\pocociza.scr
c:\program files\Fichiers communs\fozukorez._sy
c:\windows\gowo.dat
c:\program files\Fichiers communs\fizuku.exe
c:\program files\Fichiers communs\qutoduga.com
c:\documents and settings\All Users\Application Data\zivuqizi.dll
c:\program files\Fichiers communs\nyhygim.lib
c:\program files\Fichiers communs\juxi.db
c:\documents and settings\All Users\Application Data\ixomuji.bin
c:\windows\system32\lutybiv.exe
c:\windows\liky.bin
c:\program files\Fichiers communs\sinunefom.pif
c:\program files\Fichiers communs\dypymymeka.dl
c:\documents and settings\All Users\Application Data\ygedetiwos.dat
c:\program files\Fichiers communs\judyhitigo._dl
c:\documents and settings\Marc\Application Data\ymicot.dat
c:\windows\lopisoxumi.dat
c:\windows\system32\homuhak.dll
c:\windows\buqovefuce.com
c:\documents and settings\Emilien\Application Data\ujuj.pif
c:\documents and settings\All Users\Application Data\amaf.scr
c:\program files\Fichiers communs\izaz.scr
c:\documents and settings\Emilien\Application Data\cenyconij.bin
c:\program files\Fichiers communs\micawi.exe
c:\documents and settings\Emilien\Local Settings\Application Data\wiwobysuda.bin
c:\windows\leha.bin
c:\documents and settings\Emilien\Local Settings\Application Data\ohixe.sys
c:\documents and settings\Marc\msword98.exe
c:\windows\system32\msword98.exe
 
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msword98"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msword98"=-

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

Ensuite fait un scan en ligne >

< coche toutes les cases,à la fin colle ici
le rapport se situant en C:\Program Files\EsetOnlineScanner\****** ***.txt
Aide en image

invite39204b85 · 30/09/2009, 09h37

Bonjour b marlow,
je n'ai pas donné signe de vie depuis qqs jours car en déplacement.
Le PC infecté (qui n'est pas le mien) empêche Combofix de se lancer. Une fenêtre avec un message d'erreur indique que l'application n'a pu être démarrée suite à une erreur.
Internet est inaccessible car un petit nouveau (c'est un vrai festival) s'est introduit: antivirus pro 2010
Toute la famille va s'inviter ?
Je vais retenter sous mode sans échec, s'il veut bien démarrer de cette façon).

Merci de ton aide

Lucovitch

invite39204b85 · 30/09/2009, 09h43

*****Correction*****
J'ai oublié que j'ai ôté les droits administrateur à tous les usagers. Donc, en mode sans échec et en edmin, combofix est ok. L'affaire suit son cours.

invite4c6c2965 · 30/09/2009, 10h08

Pour s'assurer du nettoyage n'oublie pas de poster le rapport ComboFix.

Ensuite tu pourras faire un scan avec MBAM

Télécharge Malwarebytes' Anti-Malware renomme mbam-setup.exe en mbam-setup.com
Double-clic dessus et installe-le normalement.
Rends-toi dans C:\Program Files\Malwarebytes' Anti-Malware
renomme MBAM.exe en MBAM.com
Puis fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.
a la fin redonne son extension d'origine à MBAM (.exe)

invite39204b85 · 30/09/2009, 11h21

Aprés quelques manips, voici le résultat.
Eset a encore trouvé 36 infections.

invite39204b85 · 30/09/2009, 11h36

Voici le rapport de Malwarebytes

invite39204b85 · 30/09/2009, 11h41

Redémarrage en mode normal: tout semble normal, pas de fenêtre intempestive.
Je n'ai pas teté de connecter à Internet. J'attends la suite des directives....au cas où !
Un grand merci toutefois de nous consacrer de ton temps

invite4c6c2965 · 30/09/2009, 11h59

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

DirLook::
c:\windows\system32\bfubackups
 
File::
c:\windows\erabor.com
c:\windows\system32\restorer32_a.exe
c:\documents and settings\Marc\restorer32_a.exe
c:\documents and settings\LocalService\Application Data\kevusyvef.dat
c:\documents and settings\LocalService\Application Data\lizkavd.exe
c:\documents and settings\LocalService\Application Data\svcst.exe
c:\documents and settings\LocalService\Application Data\seres.exe
 
 
Folder::
C:\AntivirusPro_2010
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"restorer32_a"=-
[-HKLM\~\startupfolder\c:^documents and settings^marc^menu démarrer^programmes^démarrage^ikowin32.exe]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

Ensuite tu peux changer d'antivirus,>AntiVir< est bien meilleur qu'avast. Il est en français
et tout aussi gratuit.Si tu changes d'av ce qui est souhaitable,désinstalle avast avant
l'installation d'AntiVir. Configure-le comme sur le tuto puis fais un scan. S'il détecte un problème
poste le rapport.

invite39204b85 · 30/09/2009, 16h42

Aprés avoir suivi scrupuleusement la méthode, le PC redémarre normalement et plus rien ne vient polluer son fonctionnement.
Un grand merci ton aide précieuse

Lucovitch

invite4c6c2965 · 30/09/2009, 17h26

Il serait préférable de poster les rapports, ce genre d'infection à tendance à redémarrer
si on ne vérifie pas que le nettoyage ne laisse rien derrière...

PC spyware 2010 (encore !)

PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 (encore !)

Re : PC spyware 2010 & antivirus pro 2010 (Résolu)

Re : PC spyware 2010 (encore !)

Discussions similaires

Pc spyware 2010

windows spyware 2010

fenetres intempestives due à l'installation d'un spyware(spyware secure?)

APN reflex pose longue/la galère encore et encore

Brandt Premia C100 qui disjoncte encore et encore.