RESOLU Besoin aide pour portable infecté par ? spyware

[clache]

Pour WAWASEB

 

Je viens de changer mon fond d'ecran (retour au classique XP) et il sembe tenir??

Je ne veut pas me faire de fausse joie, je n'ai plus d'alarme spyware et autre connection IE intempestive??,

Si nous (surtout toi) avons reussit a nettoyer, dit moi ce que je doit encore nettoyer dans Hijackthis, et quels sont es programmes que je dois enever (ceux de nettoyage, et/ou autres), je pense aussi essayer d'enlever les "rapports" qui trainent un peu partout.

Par contre il me sembe utile de lui laisser Spybot et Ccleaner en lui expliquant leur utiisation. j'ai enleve F-Secure, mais i n'y avait qu'un dossier dans programme files et rien dans ajout suppression de prgms.

Je pense que l'ancien "faux ecran" doit encore exister en fichier HTML sur ce pc, je ne sais ou!!!

Il reste aussi un bug de mise a jour de norton "anti ver",, mais leur procedure necessite de désinstaller, et cet mon amis qui a e CD avec la clè, je pense donc attendre de lui rendre son portabe ou qu'ilm'apporte le cd.

 

SVP dit moi si nous avons finit???

 

Dans un cas comme dans l'autre ENORMES MERCI pour ton assistance

 

A demain sans doute

 

Amitièes

Cache

[clache]

Bonjour WAWASEB

J'ai fais les maips suivantes, peu tu me dire ce que tu en pense??

Nettoyè avec Ccleaner OK

Norton vidé la quarantaine

Virè un "Default.htm" qui etait le fon d'ecran "Spy ware...."

Je passe SpyBot, et il me trouve les trucs suivants???

Aconti

7Fasst

SW Agent

Qmitfraud-C

Acoona

Microsoft Windows Security Center Task Manager

AdBreak

INetSpeak

CnsMin

PWS.LDPinchIE

Smitfraud-C.generic

Peu tu me dire ce que tu en pense??? j'ai l'impression que ce n'est pas finit???

SpyBot finit par "Unexpected error in fixing problems (Out of memory)"

 

Merci si tu as encore un peu de temps pour finir ce nettoyage

 

A Plus

 

Clache

[clache]

Malgres tout, Spybot semble avoir enlevè la plus part de "nuisibles", un deuxieme passage ne me trouve que SWAgent, et me l'as soit disant supprimé?

Je reste pour l'instant déconnectè sur ce portable, j'aimerais que tu me dise si tu pense que nous avons tout nettoyè, si c'est le cas SVP dir moi comment réactiver les points de restauration de XP, car il n'y en a aucun, et j'avais un message qui me dissait que cette fonction etait désactivèe par l'administrateur??? par contre il faudrais que je la réactive par sécuritè pour mon amis. Dit moi si cela doit faire parti d'un autre sujet???

Je me suis habituè a ton aide.... Merci de me dire si je suis trop "Boulet"

A plus

[WawaSeb]

Bonjour clache,

 

*** Quel excellent travail, ton rapport HijackThis ne montre plus de trace d'infection ! ***

---> Bien joué aussi pour le fond d'écran et, pourquoi pas, pour le scan avec Spybot (bien que son efficacité soit très limitée en cas d'infection) !

 

Note : Si tu as nettoyé les fichiers temporaires avec Ccleaner, nous pouvons tout de suite passer à la vérification générale, via Kaspersky !

 

1) Nous allons donc vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Je vois que tu utilises Internet Explorer 7 : Si tu as des problèmes avec le bouton pour accepter la license, clique sur l'outil Zoom sur le bord droit de la fenêtre de Windows et règle-le à 75 %. Une fois que la license est acceptée, remets-le sur 100 %

 

 

2) Télécharge SeDebug-Restore de sUBS

• Double-clique sur l'outil pour le lancer
  
• Redémarre ta machine (c'est important !)
  

@ très vite !

[clache]

Salut WAWASEB,

Je suis tes explications, bonne nouvelles alors encore mille fois MERCI, je suis connecte sur le forum avec mon portble perso, et sur l'autre je suis en cours du scan Kaspersky, des la fin de le procedure je me connecterais aves le "malade" pour te poster les rapports.

J'aimerais que tu me dise si il y a d'autres chose a nettoyer, et quels sont les programmes installes qu'il faudra que j'enleve, mais bon un peu de patience et chaque chose en son temps

a tout de suite

[clache]

Pour WAWASEB

Je te post e rapport de kaspersky scaner on line, i trouve au moins 3 virus??

Donne moi ton Avis??

Pour la manip deSeDebug-Restore, je l'ai fais et redemarrè, ?? je suppose que cela reactive les points de restauration systeme?? dit moi apres nettoyage, quand je pourrais un faire un avec une config saine?,

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Sunday, February 10, 2008 2:55:16 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 10/02/2008

Enregistrements dans la base antivirus Kaspersky : 515239

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

C:\

D:\

E:\

G:\

 

Statistiques de l'analyse:

Total d'objets analysés: 51746

Nombre de virus trouvés: 3

Nombre d'objets infectés: 12 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 00:37:06

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\atapi.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\mmmsghigh.dll Infecté : Trojan.Win32.Small.aao ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\2008-02-10_Log.ALUSchedulerSvc.LiveUpdate L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\settings.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\christine\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\christine\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\christine\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\christine\Local Settings\Historique\History.IE5\MSHist012008021020080211\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\christine\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\christine\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\christine\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\christine\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\christine\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\christine\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\christine\Bureau\fich_net_avant0602\clache_for_andy[2008-02-04_21_23].cab/C:/WINDOWS/system32/rxjddnvj.exe Infecté : not-virus:Hoax.Win32.Renos.asa ignoré

C:\Documents and Settings\christine\Bureau\fich_net_avant0602\clache_for_andy[2008-02-04_21_23].cab/C:/WINDOWS/system32/crypts.dll Infecté : Trojan-Clicker.Win32.Agent.lt ignoré

C:\Documents and Settings\christine\Bureau\fich_net_avant0602\clache_for_andy[2008-02-04_21_23].cab CAB: infecté - 2 ignoré

C:\Documents and Settings\christine\Bureau\fich_net_avant0602\upload_moi_ACER-1916361FFD.tar.gz/upload_moi.tar/WINDOWS/System32/mmmsghigh.dll Infecté : Trojan.Win32.Small.aao ignoré

C:\Documents and Settings\christine\Bureau\fich_net_avant0602\upload_moi_ACER-1916361FFD.tar.gz/upload_moi.tar Infecté : Trojan.Win32.Small.aao ignoré

C:\Documents and Settings\christine\Bureau\fich_net_avant0602\upload_moi_ACER-1916361FFD.tar.gz GZIP: infecté - 2 ignoré

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcrst.dll L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPStart.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPPolicy.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPStop.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDSYS.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDFW.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDCON.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDALRT.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDIDS.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDDBG.log L'objet est verrouillé ignoré

C:\Program Files\Norton AntiVirus\AVVirus.log L'objet est verrouillé ignoré

C:\Program Files\Norton AntiVirus\AVApp.log L'objet est verrouillé ignoré

C:\Program Files\Norton AntiVirus\AVError.log L'objet est verrouillé ignoré

C:\_OTMoveIt\MovedFiles2092008_213424\WINDOWS\system32\rxjddnvj.exe Infecté : not-virus:Hoax.Win32.Renos.asa ignoré

C:\upload_moi_ACER-1916361FFD.tar.gz/upload_moi.tar/WINDOWS/System32/rxjddnvj.exe Infecté : not-virus:Hoax.Win32.Renos.asa ignoré

C:\upload_moi_ACER-1916361FFD.tar.gz/upload_moi.tar/WINDOWS/System32/mmmsghigh.dll Infecté : Trojan.Win32.Small.aao ignoré

C:\upload_moi_ACER-1916361FFD.tar.gz/upload_moi.tar Infecté : Trojan.Win32.Small.aao ignoré

C:\upload_moi_ACER-1916361FFD.tar.gz GZIP: infecté - 3 ignoré

 

Analyse terminée.

 

A plus

[WawaSeb]

Bonsoir clache,

 

*** La procédure touche à sa fin, tu peux être fier de toi ! ***

----> Pour la plupart, les fichiers infectés se trouvent dans la quarantaine des outils que nous avons utilisés !

 

1) Supprime les fichiers / dossiers suivants :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

• C:\WINDOWS\system32\mmmsghigh.dll
  
• C:\Documents and Settings\christine\Bureau\fich_net_avant0602\clache_for_andy[2008-02-04_21_23].cab
  
• C:\Documents and Settings\christine\Bureau\fich_net_avant0602\upload_moi_ACER-1916361FFD.tar.gz
  
• C:\_OTMoveIt\ <-- Tout le dossier !
  

 

2) Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir...

• Télécharge la dernière version de Java Runtime Environment (JRE) 6.
  
• Descends sur la page jusqu'à "Java Runtime Environment (JRE) 6u4, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
  
• Clique alors sur "Download"
  
• Arrivé sur cette page-ci, remplis les champs comme indiqué sur l'image et clique sur "Continue"
  
  
• Coche la case et accepte la license
  
• La page se recharge
  
• Coche la case Windows Offline Installation et clique sur jre-6u4-windows-i586-p.exe
  
• Ferme tous tes programmes (surtout les navigateurs Internet)
  
• Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA
  
• Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)".
  
• Clique sur le bouton "modifier / supprimer"
  
• Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
  
• Redémarre ta machine
  
• Après le reboot, clique sur jre-6u4-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran
  

# Rencontres-tu encore des problèmes avec ta machine ?

# Si oui, lesquels ?

 

 

Bonne soirée !

[clache]

MERCI milles Fois pour tout WAWASEB

Je pense que mon amis va etre content de recuperer son portable nettoyè

Je vais virer les programmes que nous avons installè pour le nettoyage, car il ne s'en servira pas, peut etre dois je laisser Spybot, bien que son utilite me semble ????

Je laisse aussi Ccleaner, c'est un programme que j'apprecie sur mon portable, et qui est simple d'utilisation.

Ensuite, je vasi faire une defrague, et seulement apres j'essai de creer un point de restauration, car je pense qu'il n'y en a jamais eu, cela me permettra de lui expliquer l'utilitè en cas d'installation "sauvage" vu le fiston???

A plus je te tiens au courant afin que l'on puisse mettre résolu sur ce sujet

 

Merci encore

A plus

[clache]

Bonsoir WAWASEB

Je suis super content car le "Malade" est guerit, je pense que mon collegue et sa femme ( tu avais vu que c'est son portable) vont etres tres content, je m'y connait un peu en informatique, mais chapeau bas pour ta classe, j'en suis loin, mais j'apprends c'est le principal.

Je vais tenter de nettoyer "physiquement" la chose, cela ne lui feras pas de mal.

J'ai cree un point de restauration, voila je pense que c'est OK

Dit moi si l'on doit mettre résolu dans le premier message pour fermer le sujet???

Sans vouloir trop te monopoliser, je te demanderais bien une aide pour le mien de portable, j'aurais juste besoin d'accelerer le demarrage que je trouve tres long ( environ 2 minutes) mais dit moi , peut etre cela doit il faire l'objet d'un autre Sujet

 

Encore tous mes remerciement pour ce travail de PRO

 

Bonne soiree

 

Amicalement

 

Clache

[WawaSeb]

Bonsoir clache,

 

*** Je te remercie pour tes mots gentils, mais j'affirme que c'est toi qui as fait le boulot ! ***

 

Je vais virer les programmes que nous avons installè pour le nettoyage, car il ne s'en servira pas, peut etre dois je laisser Spybot, bien que son utilite me semble ????

--> Nous avons un utilitaire qui va s'occuper efficacement du nettoyage à notre place !

 

 

Sans vouloir trop te monopoliser, je te demanderais bien une aide pour le mien de portable, j'aurais juste besoin d'accelerer le demarrage que je trouve tres long ( environ 2 minutes) mais dit moi , peut etre cela doit il faire l'objet d'un autre Sujet

--> Oui, il est préférable que tu ouvres un autre sujet... histoire que tout le monde s'y retrouve !

 

# Télécharge ToolsCleaner! de A.Rothstein pour enlever les programmes que nous avons utilisés pendant la procédure.

• Enregistre ToolsCleaner2.exe sur le Bureau.
  
• Double-clique dessus, puis clique sur Recherche --> Le programme va chercher les utilitaires installés
  ------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !
  
• Quand il a terminé, clique sur le bouton "Suppression" <-- Vérifie qu'il n'y a aucun fichier à garder dans la liste !
  
• Copie-colle le contenu du rapport qui apparait dans la fenêtre blanche.
  

 

@ très vite pour quelques derniers petits conseils !