Invasion trojans et malwares [résolu]

[freud]

000000

Modifié le 22 septembre 2010 par freud

[Thanos]

salut

 

1°) Un petit scan supplémentaire avec un programme que tu vas pouvoir conserver: si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complêt"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

2°) Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

[freud]

00000000

Modifié le 22 septembre 2010 par freud

[Thanos]

freud: je te demandais de faire le scan avec RSIT après le scan MBAM: pour voir ce qu'il reste

pas grave: tu en repostera un après le scan MBAM stp.

[freud]

0000000

Modifié le 22 septembre 2010 par freud

[Thanos]

ok il reste du nettoyage, on continue avec ce scan rapide stp:

 

Avant de faire le scan, effectue ceci => Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Activer Antivir Guard. Le parapluie rouge doit être plié après ca.

• Fais un clic sur le bouton droit de ta souris ICI
  
• Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
  
• Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> freud.exe
  
• Enregistre-le fichier sur le Bureau: pour cela clique sur le bouton Enregistrer.
  
• Assure toi que tous les programmes soient fermés avant de lancer le fix!
  
• Fait un double clique sur freud.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.
  
• Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t'est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
  

 

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

 

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu dois voir le message suivant:

• Tape sur la touche Y (Yes) pour poursuivre avec la recherche de nuisibles.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  
• Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt
  

[Thanos]

freud, je lirai ton rapport toute à l'heure et te laisserai une procédure pour terminer le nettoyage: bonne nuit

[freud]

00000000

Modifié le 22 septembre 2010 par freud

[Thanos]

salut

 

Le rapport n'est pas complet effectivement...! on ne pourra pas les supprimer manuellement je pense car l'infection protège ses fichiers.

On va procéder ainsi stp =>

 

- Copie/colle ce qui suit dans un fichier texte car tu n'auras pas accès à internet durant cette procédure: elle se passe en mode sans échec.

- Si tu as un support amovible qui a la lettre F:\ dans l'explorateur (lorsque tu ouvres le Poste de travail), branche le avant de faire le scan (étape 3).

 

1°) Télécharge OTM par OldTimer et enregistre ce fichier sur le Bureau.

 

2°) Redémarre le PC, impérativement en mode sans échec.

• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.
  
• Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.
  
• Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].
  
• Choisis ton compte usuel, et non Administrateur.
  

3°) Utilisation de OTM.

• Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :first
  
  :processes
  explorer.exe
  davclnt.exe
  
  :services
  PRAGMAchqoidipor
  PRAGMAnnseeoxueo
  Norton Internet Security
  SRTSP
  SRTSPX
  NAVENG
  NAVEX15
  
  :files
  C:\WINDOWS\system32\aqnlswtp7b.dll
  C:\WINDOWS\system32\t4q87cc9.dll
  C:\WINDOWS\system32\t6unoy48k.dll
  C:\WINDOWS\system32\rdnh7.dll
  C:\WINDOWS\system32\dgwzfz4gg0.dll
  C:\WINDOWS\system32\dgqzoi2h.dll
  C:\WINDOWS\system32\pexjsqtzp.dll
  C:\WINDOWS\system32\kebd6.dll
  C:\WINDOWS\system32\fqyro1db42.dll
  C:\WINDOWS\system32\p4cwc.dll
  C:\WINDOWS\system32\PRAGMAkkahnrsduv.dll
  C:\Documents and Settings\All Users\Application Data\pragmamfeklnmal.dll
  C:\WINDOWS\system32\PRAGMAfeocaafulq.dll
  C:\WINDOWS\system32\PRAGMAgkbnwwnqod.dll
  C:\WINDOWS\PRAGMAnnseeoxueo
  C:\WINDOWS\PRAGMAchqoidipor
  C:\DOCUME~1\Damien\LOCALS~1\Temp\davclnt.exe
  C:\WINDOWS\system32\qmgxhe.dll
  C:\DOCUME~1\Damien\LOCALS~1\Temp\s1896.exe
  C:\Program Files\Digital Protection
  C:\WINDOWS\system32\drivers\NIS
  C:\Documents and Settings\All Users\Application Data\Norton
  C:\Program Files\Norton Internet Security
  F:\NUMERA/postojeca.exe
  
  :reg
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9BA40A1-74F1-52BD-F431-00B15A2C8953}]
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "Alcmtr"=-
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "davclnt.exe"=-
  "hf8wefhuaihf8ewfydiujhfdsfdf"=-
  "Digital Protection"=-
  [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
  "{A9BA40A1-74F1-52BD-F431-00B15A2C8953}"=-
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableTaskMgr"=-
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableTaskMgr"=-
  [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
  "C:\Program Files\AVG\AVG8\avgemc.exe"=-
  "C:\Program Files\AVG\AVG8\avgupd.exe"=-
  "C:\Program Files\AVG\AVG8\avgnsx.exe"=-
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26f49618-fdd6-11dd-97c3-00248c10e274}]
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ccdd7b9-4496-11df-956a-002243cddcdd}]
  
  :commands
  [emptytemp]
  [start explorer]
  [zipfiles]

  
  

• Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée puis choisis Coller.
  
• Clique sur le bouton rouge
  
• Ferme OTM
  
• Poste dans ta prochaine réponse le rapport de OTM (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

 

4°) Au redémarrage du pc, j'aimerai que tu m'expédie un fichier stp >>

• Rend toi sur cette page > http://senduit.com/
  
• Clique sur le bouton "Parcourir": une fenêtre s'ouvre=> recherche dans le dossier C:\_OTM\MovedFiles un fichier zippé dont le nom correspond à l'heure/la date à laquelle OTM a été lancé (03152010_005948.zip par ex).
  
• Double-clique sur le fichier pour le sélectionner.
  
• Clique maintenant sur "ouvrir" en bas de la fenêtre.
  
• De retour sur la page du site, clique sur la flêche à droite de "Expire in" et sélectionne 1 day
  
• Clique enfin sur le bouton Upload.
  
• Le lien d'upload va s'afficher en bas de page: envoie le moi par MP stp
  

Poste ce rapport stp et relance RSIT puis poste le rapport.

[freud]

000000000000

Modifié le 22 septembre 2010 par freud