Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Besoin d'aide...

zbibou

Par zbibou
dans Analyses et éradication malwares

 Partager

Messages recommandés

zbibou Mega Power Member

zbibou

Posté(e)
Posté(e) (modifié)

Bonjour à tous,

Je suis depuis quelques jours maintenant victime de ce que j’imagine être des « malwares ».

Il à suffi que je prête mon ordi 20 minutes à une connaissance pour que celui-ci soit assailli de publicité, d’ouverture intempestives et de lancement automatique de message dans ma barre de menu.

Bref, je me suis donc intéressé aux forums traitant sur le sujet et j’ai essayer de m’en sortir seul. En vain.

J’ai essayé beaucoup de choses :

 

KillBox.exe

procexp.exe

FixVundo.exe

VundoFix.exe

HijackThis.exe

spybotsd14.exe

CCleaner

cwshredder.exe

startuprun

ad-aware 6 ect…

 

Absolument rien n’y fait.

Je sais que tout a commencé avec un certain fichier dll nommé « awvvs.dll » qu’il m’a été impossible d’enlever toujours présent, et que je ne retrouve même pas dans les logs de HijackThis …

Bref je ne sais plus comment faire pour retrouver un pc sain.

Je fais appel à vous dans l’espoir que vous puissiez me donner les démarches à suivre.

 

Je vous poste le dernier log de HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 00:23:37, on 04/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

 

 

En esperant que vous saurez apporter des réponses à mes questions…

Merci d’avance, zbibou.

Modifié par zbibou

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut zbibou

 

Commence par faire ceci stp=>

 

Ca a l'air long et compliqué mais ca n'est pas du tout le cas!!c'est juste détaillé!

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire :P

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure

-Dans le champs"Type" en bas de page ,choisis: Page web complète

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

* Télécharge Spywareterminator

http://www.spywareterminator.com/

son turoriel chez Malekal_Morte(merci!):

http://www.malekal.com/tutorial_SpywareTerminator.html

Lance le programme et configure le comme sur la page du tutoriel de Malekal_Morte.

Met le programme à jour,puis quitte le. (ne lance pas de scan maintenant!)Durant l'installation du logiciel, tu verras s'afficher le message suivant => Integrate WinClamAVShield into Spyware Terminator , clique sur "No (tu possède déjà un antivirus!)

 

 

* Télécharge SmitfraudFix de S!Ri ici:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Dézippe la totalité de l'archive dans un répertoire.

 

* Télécharge ATF Cleaner by Atribune sur ton bureau.

 

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R3 - Default URLSearchHook is missing

 

O4 - HKCU\..\Run: [Glhq] C:\Documents and Settings\pc\Application Data\?ppPatch\m?hta.exe

 

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 4:

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Supprime le dossier en gras:

 

C:\Documents and Settings\pc\Application Data\?ppPatch

 

-vide la corbeille.

 

Étape 5:

 

* Ouvre le dossier SmitfraudFix et double clique sur Smitfraudfix.cmd.

Dans le menu, sélectionne 2=>Répondre O (oui) aux question qui te seront posées.

 

Étape 6:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 7:

 

* Lance Spywareterminator et scanne le pc :

  • Clique sur Full Spyware Scan puis en bas sur le bouton Start Scan Now.
  • Lorsque le scan est terminé, tu obtiens le rapport.
  • Dans l'onglet Threats, les malwares détectés apparaîssent sous forme de liste, note qu'ils sont cochés pour être pret à être supprimé.
  • Clique sur le bouton "Remove".
  • Tu vas reçevoir un message te demandant si tu souhaites continuer l'opération : clique sur "Yes".
  • Dans l'onglet "Scan Report", tu verras un rapport de ce qui a été éliminé: Clique sur le bouton Copy to Clipboard (en bas), puis ouvre le bloc note:
    (clic droit sur un endroit vide du bureau=>nouveau=>fichier texte) et fais un clic droit de ta souris puis choisis "Coller".
  • Enregistre le fichier:
    -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>
    -Choisis "Enregistrer sous" et choisis "Bureau".
    -Dans le champs "Nom du fichier" en bas de page donne le nom suivant:rapterminator.txt
    -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

Étape 8:

 

Redémarre normalement et poste les rapports de:

-Smitfraudfix.

-Spyware Terminator.

-un nouveau rapport hijackthis.

 

courage :P

zbibou Mega Power Member

zbibou

Posté(e)
  • Auteur
Posté(e)

Sa semble un peu compliqué, mais je ne me décourage pas !!!

Je pars immédiatement à l’attaque.

 

Merci pour ta réponse Charles, je te suis d’hors et déjà fort reconnaissant…

A tout de suite pour la suite… hi.

 

;)Zbib

zbibou Mega Power Member

zbibou

Posté(e)
  • Auteur
Posté(e) (modifié)

Bon...

Il est bien tard, mais je crois avoir tout fait comme il fallait...

j'attends les conclusion de Charles avec impatience, mais je constate d'hors et deja qu'il n'y a plus de parasite des l'ouverture de session :P.

bref voici les rapports:

 

Hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 03:37:35, on 04/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Voila....

bien, je suis en partie soulagé et ... crevé.

j'attends les conclusions... brr.

Modifié par zbibou
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Tu as bien bossé, c'est beaucoup mieux!!

 

Stp , poste moi les rapports suivants(je les analyserait en rentrant du boulot lol!)

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O20 - Winlogon Notify: awvvs - C:\WINDOWS\system32\awvvs.dll (file missing)

O20 - Winlogon Notify: winubg32 - winubg32.dll (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

- Télécharge chercher.zip sur ton bureau

  • Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
  • Un nouveau dossier chercher va être créé
  • Ouvre le et double-clic sur chercher.cmd
  • Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande
  • Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
  • Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
  • A nouveau menu Edition / copier
  • Dans un nouveau message ici, faire un clic droit / coller

fais un scan ici stp =>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

 

ici si ca ne marche pas =>

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

 

un rapport hijackthis fait comme ceci =>

 

Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique surGenerate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

allez courage, on avance :P

zbibou Mega Power Member

zbibou

Posté(e)
  • Auteur
Posté(e) (modifié)

Salut Charles, heureux de vous retrouver...

Je comprends ne pas être totalement débarrassé des ses fichu parasites... Arf.

Bien continuons... :/

 

 

scan hijackthis effectuer, lignes fixées...

Modifié par zbibou
zbibou Mega Power Member

zbibou

Posté(e)
  • Auteur
Posté(e) (modifié)

Suite...

(pour je ne sais quelle raison !!! ;/)

 

 

Enumerating Windows NT/2000/XP services

 

***

Voici donc, je suis viceralement a nu devant vous...

tout au moins mon pc...hi

 

J'espere que vot' journée n'a pas été trop longue.

j'attends vos conclusions.

 

Amicalement zbibou.

Modifié par zbibou
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut zbibou :-P

Voici donc, je suis viceralement a nu devant vous...

tout au moins mon pc...hi

 

J'espere que vot' journée n'a pas été trop longue.

:P j'en sors il y a peu :P

 

Vundo est encore présent sur ton pc!!On continue le nettoyage (tu peux me tutoyer zbibou :-( )

N'hésite pas à me dire ce qui n'a pas fonctionné: si tu as trouvé les fichiers indiqués etc...

 

Étape 1:

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer.
  • Coche Run VundoFix as a task.
  • Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
  • Clique sur le bouton Scan for Vundo.
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  • Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Supprime le dossier en gras:

 

c:\Documents and Settings\pc\Application Data\??stem32

 

*Supprime les fichiers en gras dans C:\WINDOWS\System32:

 

C:\WINDOWS\System32\CSUninstall.exe

C:\WINDOWS\System32\mcrh.tmp

C:\WINDOWS\System32\wintsvit.exe

 

* Vide la corbeille.

 

*Assure toi que ces fichiers ne sont plus présents!!:

 

C:\WINDOWS\System32\svvwa.ini2

C:\WINDOWS\System32\svvwa.bak2

C:\WINDOWS\System32\svvwa.tmp

C:\WINDOWS\System32\svvwa.ini

C:\WINDOWS\System32\svvwa.bak1

C:\WINDOWS\System32\qomjkih.dll

 

NOTE: Ces fichiers ont normalement été éliminé par Vundofix , mais il est préférable d'en être sûr!!

 

Étape 4:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 5:

 

Redémarre normalement et =>

 

* Copie/colle le contenu du rapport Vundofix situé dans C:\vundofix.txt .

* Relance chercher.cmd et colle le rapport dans ta réponse.

 

Allez ca devient bon, courage :P

zbibou Mega Power Member

zbibou

Posté(e)
  • Auteur
Posté(e) (modifié)

Ben dis donc Charles... c'est une heure pour rentrer !!? mdr.

 

bien alors recapitulons:

 

etape 1:

 

j'ai lancé Vundofix.exe, mais celui-ci n'a rien trouvé.....

 

 

etape 2:

 

 

suppression manuelle en mode "sans echec" de:

 

c:\Documents and Settings\pc\Application Data\??stem32

C:\WINDOWS\System32\CSUninstall.exe

C:\WINDOWS\System32\mcrh.tmp

C:\WINDOWS\System32\wintsvit.exe

 

d'autre part, les fichiers:

 

C:\WINDOWS\System32\svvwa.ini2

C:\WINDOWS\System32\svvwa.bak2

C:\WINDOWS\System32\svvwa.tmp

C:\WINDOWS\System32\svvwa.ini

C:\WINDOWS\System32\svvwa.bak1

etaient cachés mais bien présent, et ont été effacés manuellement...

 

etape 4:

 

 

effectué ATF-Cleaner comme décrit.

 

***

 

Voilà...

Heu... juste deux remarques anodine,

quelques problemes au niveau du redamarrage du systeme (boot), m'obligeant a taper F1 pour lancé la machine ( pas systematiqauement). Et quelques lenteures au niveau du lancement des programmes au demarrage de windows. Rien d'affollent m'enfin...

Un défrag s'imposera sans doute apres tant de modifications ?!!

 

A ton bon jugement chère Charles...

zbibou, toujours d'attaque. :P

Modifié par zbibou

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...