Torpig.ez et P skill A

[vroum75]

Bonjour
Voici ce qui m'amène ici: Depuis quelques jour, mon PC refuse de démarrer correctement. J'arrive jusqu'au fond d'écran de mon bureau, mais la barre de tache n'apparait pas. Pas moyen d'agir sur quoi que ce soit, la seule façon de l'arrêter étant un l'appui sur le bouton démarrer de l'unité centrale pendant plusieurs secondes. J'arrive à le faire fonctionner en mode "sans échec". J'ai fait scanner en ligne par un antivirus qui m'a dit avoir détecté "Torpig.EZ et Pskill A, mais qui me propose d'acheter en ligne sa solution antivirus. L'un de ces virus étant, d'après ce que j'ai compris, un espion, je ne veux pas utiliser ma CB pour un paiement en ligne. Ci joint les fichier log.txt et info.text que vous demandez dans votre tutoriel "premiers gestes pour désinfecter sa machine". Merci d'avance si vous pouvez me venir en aide.
-----

[vroum75]

Personne pour m'aider?

[b marlow]

Salut,
Un gros problème c'est que tu as deux antivirus actifs sur ton ordi, Norton et avast...pas bon.
Supprime/désinstalle un des deux, imperatif, c'est ton premier soucis.

Ensuite cherche ce programme C:\Program Files\trend micro\Pierre.exe
double-clique dessus, clique sur Do a system scan only
coche ces lignes, ferme les fenêtres actives puis clique sur Fixchecked:


F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {16702622-F7FA-4342-B2DD-144E7948A37C} - (no file)
O2 - BHO: (no name) - {2214C724-C127-4209-A3F8-3AC861660C9F} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [PowSet] Wscript.exe //e:VBS C:\Drivers\Setpow.nec
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM .exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNoti fier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab
O20 - Winlogon Notify: ivn4reg - C:\Documents and Settings\All Users\Documents\Settings\ivn4. dll
O20 - Winlogon Notify: tuvULETj - tuvULETj.dll (file missing)

Puis démarrer>>exécuter>>tapes : services.msc
valide par la touche Entrée
cherche ces services, double-clic dessus, à mettre sur Arrêté et Désactivé:

O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINDOWS\system32\dllcache\m ravsc32.exe (file missing)
O23 - Service: s3contrl (32-bit) - Unknown owner - C:\WINDOWS\VTTray.exe (file missing)


Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan Complet
à la fin clique sur Supprimer la sélection
Accepte le reboot de l'ordi pour le nettoyage, puis poste le rapport final en P-J.

NB: sur le tuto c'est le scan Rapide, faire le scan Complet, plus long mais ...complet.

Aide en images.

[vroum75]

Merci de bien vouloir m'aider.
Norton est sur le PC depuis le départ et malgrès mes essais, je n'ai jamais réussi à m'en débarrasser. Usuellement je me contente de le désactiver une fois qu'il est chargé. Là, je n'ai plus accès au PC qu'en mode sans echec, et la fonction de désinstallation ne fonctionne pas. Que faire?
Ensuite, si j'essaie de suivre le reste de tes instructions, quand je double clique sur C:\Program Files\trend micro\Pierre.exe , il m'envoie le message suivant, avec le point d'exclamation dans un triangle jaune:
Hijackthis is allready running
OK?
Que dois-je faire?

[A voir en vidéo sur Futura]

[vroum75]

Pour compléter voici le rapport d'analyse de Panda active scan2

[vroum75]

Bon, j'ai reglé le problème du "Hijackthis is allready running
OK?", je l'avais bêtement ouvert 2 fois par inadvertance.
Par contre, le lien que tu donnes pour Malwarebytes' Anti-Malware ne semble rien donner. Y a-t-il encore un truc que je fais mal?

[b marlow]

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

Fs
:files
c:\documents and settings\all users\documents\settings\ivn4.dll
c:\windows\system32\sbutils\sbwebctl.dll
c:\documents and settings\alexandre\mes documents\jocmf230.exe
c:\windows\downloaded program files\msa64chk.inf
c:\windows\system32\sbutils
 
:reg
[-hkey_local_machine\software\microsoft\ms juan]
[-hkey_local_machine\software\microsoft\removerp]

:commands
[emptytemp]
[emptyflash]
[resethosts]
[purity]
[reboot]

Retourne dans la fenêtre de OTM, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)


tu peux trouver MBAM : ICI

[vroum75]

Voilà pour celui de OTM

[b marlow]

Il manque le rapport MBAM

[vroum75]

Il vient juste de terminer le scan. Voici le rapport.
Au redémarrage, je n'ai toujours pas pu aller plus loin que le fond d'écran du bureau, et donc après un hard boot je suis toujours en mode sans echec.

[b marlow]

essaye le désinstalleur dédié pour Norton http://service1.symantec.com/support...50414110429924

[vroum75]

Le désinstalleur en question demarre aux version à partir de Norton internet security 2003. Ma version est celle juste avant (Norton internet security 2002) et le désinstalleur me demande de .... désintaller la version 2002 par windows avant d'agir. Je suis en mode sans echec et donc le désinstalleur windows ne fonctionne pas! J'avais un temps recherché sur le net le moyen de
virer ce norton et ça semblait une galère (mais il est vrai que mes notions d'informatique sont succintes).

[yoda1234]

Ma version est celle juste avant (Norton internet security 2002) et le désinstalleur me demande de .... désintaller la version 2002 par windows avant d'agir.

http://service1.symantec.com/SUPPORT...11102114102928

[b marlow]

si ce ne marche toujours pas avec le lien de yoda1234, on peut essayer avec OTM
en mettant ceci dans le script :

Code:

:services
NISSERV
NISUM
SymProxySvc
 
:files
C:\Program Files\Norton Internet Security
 
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iamapp"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{16702622-F7FA-4342-B2DD-144E7948A37C}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvULETj]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"c:\windows\system32\winchecker6.exe"=-

:commands
[emptytemp]
[emptyflash]
[resethosts]
[purity]
[reboot]

après mettre un coup de CCleaner pour nettoyer le registre.>>CCleaner<<

Tuto en images

[vroum75]

Voici le rapport de OTM
J'ai fait le "coup de CCleaner".
Très bien fait et pratique le tutoriel!

[b marlow]

tu n'as pas chopé les lignes dès le debut du script, du coup cela n'a pas supprimé les services Symantec
refait OTM en prenant les lignes toutes entieres dans le cadre, FS compris:

Code:

Fs
:files
C:\Program Files\Fichiers communs\Symantec Shared
C:\Program Files\Symantec
C:\Program Files\Norton Internet Security
 
:services
NISSERV
NISUM
SymProxySvc

bizarrement OTM ne voit pas le dossier Norton dans C

[vroum75]

Voilà, je l'ai refait:

[b marlow]

relance le RSIT et poste un nouveau rapport log.txt

[vroum75]

Avant que tu me demandes un Rsit, j'avais refait un MBAM.
Voici les 2 rapports:

[b marlow]

Code:

Fs
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
[-HKEY_CLASSES_ROOT\CLSID\{BDF3E430-B101-42AD-A544-FADC6B084872}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"=-
[-HKEY_CLASSES_ROOT\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BDMCon"=-
"BDAgent"=-
"Malwarebytes Anti-Malware (reboot)"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ivn4reg]


:Files
C:\WINDOWS\tasks\BA0183179FD63487.job       
C:\Program Files\Norton AntiVirus 


:Services
Distributed Allocated Memory Unit      
s3contrl (32-bit)

à mettre dans OTM puis faire MoveIt. Poste le nouveau rapport.

[vroum75]

Voici le rapport

[b marlow]

parviens-tu a utiliser ton PC normalement, sans passer par le mode sans échec ?

[vroum75]

Non, toujours pas.

[b marlow]

tu peux faire ceci:
Panneau de configuration > Système > Onglet Avancé > Dans 'Démarrage et récupération' cliquer sur 'Paramètres' > Dans 'Démarrage du système' cliquer sur 'Modifier' => Notepad s'ouvre...

copie-colle ici le contenu du fichier boot.

[vroum75]

Le fichier boot? Où puis-je le trouver?

[vroum75]

Pardon!

[boot loader]
timeout=0
default=multi(0)disk(0)rdisk(0 )partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partiti on(1)\WINDOWS="Microsoft Windows XP �dition familiale" /fastdetect /NoExecute=OptIn
C:\CMDCONS\BOOTSECT.DAT="Conso le de r‚cup‚ration Microsoft Windows XP" /cmdcons

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[vroum75]

La situation s'améliore: Après avoir exécuté combofix, le redémarage a presque abouti en mode classique: la fenêtre de combo fix a mis pas mal de temps à me dire qu'il a fait le rapport, mais elle ne s'est jamais fermée automatiquement. Au bout d'1/4 d'heure j'ai essayé de la fermer mais je n'ai pas pu (gel du programme?). Hard reboot, puis 2 autres tentatives en mode normal: La barre de tâches et les icones du bureau sont revenues, mais pas moyen d'ouvrir outlook express par exemple: il met du temps à réagir puis m'annonce qu'il ne peut s'ouvrir car il une session est déjà ouverte sur l'ordinateur.
Quand je ferme windows, une petite fenêtre carrée au milieu me dit le nom du programme en cours de fermeture: ECBL.LBP.???, qui doit être si je ne m'abuse, le programme de ma E-carte bleue.... Se pourrait-il qu'il y ait encore un pourritos, ou est-ce que je flippe pour rien?
Voici le rapport:

[b marlow]

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
• Navigues pour trouver ce fichier (*) :

Code:

C:\WINDOWS\system32\drivers\cwbroph.sys 

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
• Une nouvelle fenêtre de ton navigateur va apparaître
• Clique alors sur cette image :
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
• Enfin colle le résultat dans un fichier texte
• Poste ce fichier dans ta prochaine réponse.

Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

(*) : si tu ne trouves pas le fichier en question, affiche tous les fichiers/dossiers :

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

tu feras la même chose avec celui-ci:

C:\WINDOWS\system32\drivers\dbbfpu.sys

[vroum75]

Je ne trouve ni cwbroph.sys, ni dbbfpu.sys . J'ai bien coché "afficher les fichiers et les dossiers cachés" et décoché "masquer les extensions..." et "masquer les fichiers protégés du sys..." (ils l'étaient déjà mais j'ai bien vérifié).
La fonction recherche n'a rien donné non plus. les fichiers sont classés par ordre alphabétique et l'on passe de crusoe.sys à cxthsfs2.cty pour l'un, et de dac960nt.sys à disk.sys pour l'autre.