Publié par regis59, dernière mise à jour le dimanche 14 septembre 2008 à 18:11:09 par balltrap34
Voici une énumération de méthodes de désinfection afin de vous débarrasser définitivement de vos trojans, virus, vers, spywares, pubs intempestives ... Tout d'abord, l'appellation de l'infection vous est présentée, puis sa méthode pour permettre son éradication.
Spyaxe, SpySheriff, Antivirus Gold, détournement de bureau (desktop hijack)
Fichier wininet infecté ?
Vous avez un message intitulé « Services affichage des messages » ?
Trojan Vundo/Trojan Agent CS1/Virtualmonde
1ère méthode de désinfection
2nd méthode de désinfection : en utilisant Vundofix
Infection EGDAccess-xxx
Nail.exe
Erreur de nettoyage dans Ewido
Wareout
System Volume Information
Infection dans Recycler
Lop.com
Utilisation de LopXP
Manipulation pour supprimer l'infection
Sites sécurisés inaccessibles
Les Fix pour différents virus
Perte du thème XP
Infection dans les fichiers temporaires ou Temporary Internet Files
Première solution : suppression à la main
Deuxième solution : Utiliser Cleanup 40 (suppression automatique)
Mauvais anti spywares (rogues)
Look to me
Shop at home ou Home Search Assistant
Pokapoka récalcitrant
Spybot "erreur de parité"
Désinstaller Norton
Connaitre la liste des programmes dans Ajout/Suppression de programmes grâce à HijackThis
Spyaxe, SpySheriff, Antivirus Gold, détournement de bureau (desktop hijack)
Télécharger ceci (merci à S!Ri pour ce petit programme) :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
L'exécuter, puis double-cliquer sur Smitfraudfix.cmd
Choisir l’option 1, il va générer un rapport
Copier-coller ce dernier dans un message sur le forum virus/sécurité
En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Démo sonore et animéé officiel
http://pagesperso-orange.fr/rginformati ... audfix.htm
----------------------------------------------------------------------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du PC sans t’arrêter
Une fenêtre va s’ouvrir. Déplace-toi avec les flèches du clavier sur Démarrer en mode sans échec puis tape Entrée.
Une fois sur le bureau, s’il n’y a pas toutes les couleurs et autres, c’est normal !
(Si F8 ne marche pas, utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme SmitfraudFix.
Cette fois, choisis l’option 2, répond oui à tous;
Sauvegarde le rapport, redémarre en mode normal, copie-colle le rapport sauvegardé sur le forum.
Fichier wininet infecté ?
Suivez la méthode avec Smitfraudfix/Smitrem (suivant les versions de Windows). Au cas où ces 2 programmes ne trouvent pas un fichier de remplacement, faites les mises à jour de votre système ( = Mises à jour Windows)
Smitrem est téléchargeable ici
Vous avez un message intitulé « Services affichage des messages » ?
Souvent, il apparaît des messages (souvent invitant à appeler un certain numéro de téléphone ou autre) avec comme intitulé : "Service d'affichage des messages". Pour arrêter ces messages :
• Démarrer
• Panneau de configuration
• Outils d’administration
• Services
• Chercher Affichage des Messages
• Clique droit dessus puis Propriétés
• Dans le menu déroulant, Mettre « Désactivé ». Plus bas dans la fenêtre tu mets « Arrêter »
• Appliquer
• Redémarre ton PC
----> Ces messages proviennent de mauvaises mises à jour de votre ordinateur. Passer au SP1 ou SP2 résoudra votre souci. Afin de surfer protégé, n'hésitez pas à consulter cet article.
----> Activer/Désactiver le service d'affichage des messages (même méthode)
Trojan Vundo/Trojan Agent CS1/Virtualmonde
1ère méthode de désinfection
Au préalable : télécharger et générer un rapport avec HijackThis
1/ Télécharger Process XP ici et Pocket Killbox ici
Démo d'utilisation : (merci à Balltrap34 pour cette réalisation)
Si vous avez le Tea Timer de Spybot :
Désactivez-le, le temps de la manip :
Lancez Spybot > Mode avancé > Outils >> Résident
Décochez la case résident "tea timer" et refermez Spybot
2/ Déconnectez-vous du net et fermer tous les programmes en cours (Windows Média Player, Internet Explorer, etc.)
Dézipper (clic droit > extraire) Process XP et double-cliquer sur processxp.exe
Dans la fenêtre principale de Process XP, double-cliquer sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre, cliquer sur threads
Sélectionner seulement les lignes qui contiennent la .dll infectée puis cliquer sur kill pour chacune des lignes trouvées.
Une fois fait, valider avec OK
Ensuite :
Dans la fenêtre principale de Process XP, double-cliquer sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre, cliquer sur threads
Sélectionner seulement les lignes qui contiennent la .dll infectéepuis cliquer sur kill pour chacune des lignes trouvées.
Une fois fait, valide avec OK
3/ Puis lancer HijackThis :
Cliquer sur "Do a system scan only"
Cocher la case au début de ces lignes :
Fixer la 02 et 020 (la 02 a souvent comme nom MSevent. La dLL de la 020 et de la 02 est similaire !)
Valider avec [Fix Checked]
4/ Double clic sur killbox.exe (Pocket Killbox)
Cocher : Delete on reboot
Dans "Full Path of File to Delete", copier et coller : Insérer le chemin complet de l’infection (disponible en 02 et 020)
Cliquer sur la croix rouge
Une fenêtre va apparaitre pour confirmation, cliquer sur YES
Une seconde fenêtre demandera un redémarrage, cliquer sur YES
Laisser le PC redémarrer.
Si ce message apparait : "pending file rename operations registry data has been removed by external process.", l'ignorer, et redémarrer votre PC manuellement.
Recocher la case pour réactiver le Tea Timer de Spybot.
Et après, vérifier dans un nouveau log HijackThis que tout a disparu.
2nd méthode de désinfection : en utilisant Vundofix
Télécharger VundoFix.exe (par Atribune) sur votre Bureau.
Double-cliquer sur VundoFix.exe afin de le lancer.
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique sur YES
Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"). Clique sur OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans votre prochaine réponse dans le forum.
Infection EGDAccess-xxx
Générer un rapport HijackThis.
Repérer et fixer ceci : les lignes comportant le nom de votre infection + egdaccess, egauth, sysnetsvc
Exemple :
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess
O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/E ... 064_XP.cab
O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - http://akamai.downloadv3.com/binaries/P ... _FR_XP.cab
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/I ... _FR_XP.cab
Autre méthode : (Merci Philae)
Télécharger Brute Force Uninstaller (de Merijn).
Décompressez-le dans un dossier propre à lui (C:\BFU)
FAIRE UN CLIC-DROIT ICI et choisir "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..") afin de télécharger EGDACCESS Remover (de Metallica). Sauvegardez-le dans le dossier créé (C:\BFU)
Démarrer "Brute Force Uninstaller" en double-cliquant sur BFU.exe sous scriptline to execute copie/coller c:\bfu\EGDACCESS.bfu
Cliquer sur execute et le laisser faire son travail.
Attendre que complete script execution apparaîsse et cliquer sur OK.
Recommencer avec ce fichier les mêmes manipulations
Cliquer sur Exit pour fermer le programme BFU.
Redémarrer et poster un nouveau rapport HijackThis.
Nail.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
Il faut savoir qu'il est associé à une 04
O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r
Cette 04, comment la repérer ? Plusieurs indices sont à notre disposition :
- C'est une 04
- Elle se situe dans le dossier system32
- Suite a l'.exe il y a un "r"
- Les lettres entre [...] et le xxx.exe sont aléatoires, ne veulent rien dire, rien spécifier, et vous ne trouvez aucune info sur cela
Comment s'en débarrasser :
Alors pour la suite, imprimer ce poste car la manip est longue et il faut beaucoup de rigueur.
1) IMPORTANT :
Ne pas laisser redémarrer l'ordinateur en mode normal entre chaque manipulation. (Au risque de repartir à zéro).
2) Télécharger ceci :
L2Mfix : http://www.downloads.subratam.org/l2mfix.exe
CleanUp!
- Aide en image (merci à Balltrap34) :
http://pageperso.aol.fr/balltrap34/democleanup.htm
Pocket Killbox : http://www.downloads.subratam.org/KillBox.exe
- Regarder la vidéo sur l’utilisation avec le bloc-notes, on va s’en servir plus tard :
http://pageperso.aol.fr/balltrap34/killbox.htm
Mais ne rien faire de plus.
3) Désactiver la restauration système (uniquement si vous êtes sous XP) :
- Cliquer droit sur Poste de travail/Propriétés
- Cliquer sur l'onglet Restauration Système
- Cocher la case « désactiver la restauration » et appliquer.
S'assurer de ceci :
Afficher tous les fichiers et dossiers :
Cliquer sur Démarrer/Panneau de Configuration/Options des dossiers/Affichage :
Cocher "Afficher les dossiers cachés"
Décocher la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher "Masquer les extensions dont le type est connu"
Puis fais «OK» pour valider les changements.
Et appliquer
4) Vider les fichiers temporaires et Temporary Internet Files sur tous les utilisateurs :
Utilise Cleanup40 pour le faire : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
5) Lance L2Mfix
Décompresse-le (Clic droit / Extraire tout). Double-clique sur L2Mfix.bat
Appuie sur n'importe quelle touche et ensuite, choisis l'option 2.
A la fin, le programme devrait redémarrer ton système, dès le lancement du bios, tapote sur la touche F8 afin de basculer en mode sans échec (attention c’est important)
5) Pocket Killbox :
1- Double-cliquer sur KillBox.exe
2- Ouvre le bloc-notes et copie la liste en gras ci-dessous
3- Sélectionner "Delete on Reboot"
4- Revenir sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clique sur copier
5- Revenir sur killbox, et dans le menu du haut, cliquer sur File, puis sur Paste from clipboard
5- Cliquer sur le rond rouge
6- Une fenêtre va apparaître pour confirmation. Clique sur OUI
7- Une seconde fenêtre te demande si tu veux redémarrer. Clique sur OUI
Liste
C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\ccgtvzq.exe <---- Mettre ici le chemin de la 04 trouvée.
Ignorer ce message s'il apparait :
http://tinypic.com/jsj7kl.jpg
Quand KillBox redémarre le PC, appuyer immédiatement sur F8, pour passer en mode sans échec.
6) Lance HijackThis et fixe :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r <------ C'est-à-dire la 04 repérée precédemment
Repasser L2Mfix option 2, laisse redémarrer normalement l'ordinateur et refaire un log HijackThis Contrôler que l'infection est éradiquée.
Erreur de nettoyage dans Ewido
Si vous rencontrez ce genre de probleme avec Ewido :
[2660] VM_00890000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[2728] VM_00BA0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[2984] VM_009A0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[3048] VM_00950000 -> Downloader.Agent.uj : Erreur durant le nettoyage
Télécharger ceci : http://downloads.subratam.org/Fixwareout.exe
Installez-le et suivre la procédure
Refaire un scan avec Ewido en mode sans échec ; et de nouveau en mode normal.
Wareout
Ce type d'infection peut engendrer une pagaille « conséquente » dans votre ordinateur (exemple : fait planter tous les scans de désinfection, logiciels divers ...) et favorise l'apparition d'autres types d'infections, ce qui peut résulter parfois à un système d'exploitation quasi inutilisable ...
Heureusement, cette infection est facilement identifiable dans un rapport HijackThis, elle se manifeste par une/des adresse(s) IP pointant vers l'Ukraine :
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.37 85.255.112.85
==> Méthode de désinfection :
Télécharger FixWareout d'un de ces deux sites sur le bureau :
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
Lancer le fix, cliquer sur Next, puis Install, s'assurer que "Run fixit" est activé, ensuite cliquer sur Finish.
Le fix commencera, suivre les messages à l'écran. Il sera demandé à la fin de redémarrer l'ordinateur (si le système met un peu plus de temps au démarrage, c'est normal !)
Remarque 1 : En cas d'infections d'autres types venant s'additionner avec Wareout, et nécessitant eux-mêmes l'utilisation d'un fix (exemple : les variantes de Smitfraud, Vundo ...), privilégier d'abord l'élimination de Wareout car sa présence dans le système peut rendre inutilisable les autres fix ...
Remarque 2 :Il se peut, dans certains cas, que même après l’utilisation de FixWareout, et de HijackThis, ces fameuses 017 résistent, et réapparaissent dans les rapports HijackThis par la suite. Voici une astuce permettant de neutraliser définitivement ces lignes des rapports :
Aller dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (TCP/IP) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne 017 => (85.255.114.73 / 85.255.112.227 etc...)
Pour les éliminer, cocher : "Obtenir les adresses des serveurs DNS automatiquement" puis cliquer 2 fois sur"OK" et redémarrer le PC.
Merci à Incognito02 pour cette astuce
System Volume Information
Si à la suite d'analyse, l'infection se situe dans :
C:\System Volume Information\_Restore....
Cela signifie que c'est un point de restauration qui est infecté (à savoir que l'infection est inactive). Pour résoudre le souci :
¤ Désactiver la restauration système (uniquement si tu es sous XP) :
Cliquer droit sur Poste de travail / Propriétés
Clique sur l'onglet Restauration système
Cocher la case « désactiver la restauration » et applique.
Puis,
¤ Réactiverla restauration système (uniquement si tu es sous XP) :
Cliquer droit sur Poste de travail / Propriétés
Clique sur onglet Restauration système
Décocher la case « désactiver la restauration » et applique.
Pour Windows ME :
http://service1.symantec.com/SUPPORT/IN ... 20830091...
Infection dans Recycler
Ceci signifie que votre corbeille contient des éléments infectés, vider tout simplement votre corbeille. Si dans le cas où la corbeille est vide, et que l'analyse détecte une infection à l'intérieur, utiliser le logiciel Chaos Shredder (cf. Logiciels de désinfections) afin de le supprimer.
==Win32.Delf.pa, alias Trojan.Stwoyle ===
A quoi ressemble ce trojan et comment le reconnaître ?
Générer un rapport HijackThis, si vous êtes en présence de ceci, vous êtes en présence de ce trojan :
O2 - BHO: C:\WINDOWS\adsldpbc.dll
O20 - Winlogon Notify: style32
O20 - Winlogon Notify: style2
Le supprimer :
Télécharger Win32delfkil ici
Sauvegardez-le sur le bureau.
Double-cliquer sur win32delfki_Bl.exe et procéder à l'installation. Le dossier win32delfkil est créé. Fermer toutes les fenêtres, ouvrir ce dossier et double-cliquer sur fix.bat.
Lop.com
Lorsque vous installez MSN+, il se peut que vous ne fassiez pas attention à ceci :
Et pourtant, en les acceptant, vous héritez de l'infection lop.com (trojan swizzor).
Comment cela se manifeste-t-il ?
http://theroot.chez.tiscali.fr/imgs/tuto/msgplus.jpg
- Nouvelle barre de tâches
- Pubs
- Favoris insupprimables (casino, travel...)
Comment s'en débarasser ?
Générer un rapport HijackThis et l'infection se manifeste comme ceci :
Logfile of HijackThis v1.99.1
Scan saved at 22:55:38, on 2005-12-23
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\lexpps.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Annie\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [http://www.orkabsjvmoaybw[...].com/K5kkeYXoTLXcI5kK7[...]9IzROOKlIgNIxBYi.html
En regardant cette ligne, vous savez d'ores et déjà que les sponsors de MSN ont été installés ! Elle se présente avec des lettres à la suite des autres, d'une grande longueur et qui se signifie strictement rien.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.ca/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: Pop-Up Blocker BHO - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Program Files\Zero Knowledge\Freedom\pkR.dll
O2 - BHO: COMMUNICATOR - {4E7BD74F-2B8D-469E-8DBC-A42EB79CB428} - C:\WINDOWS\system32\communicator.dll
O2 - BHO: Form Filler BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Program Files\Zero Knowledge\Freedom\FreeBHOR.dll
O2 - BHO: (no name) - {576EE1AB-B9EF-2A88-2792-036638EFAADC} - C:\DOCUME~1\Annie\APPLIC~1\STYLEG~1\BODYMEMO.exe
Il y a toujours une BHO liée à l'infection, vous la ciblez facilement puisque le chemin se situe dans :
Document and Settings + un nom de session (comme ci-dessus) + Application Data
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O4 - HKLM\..\Run: [Freedom] C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
O4 - HKLM\..\Run: [gplprogramnew64] C:\Documents and Settings\All Users.WINDOWS\Application Data\AmokFirstGplProgram\AXIS BAT.exe
Ici idem, on voit clairement le chemin.
Parfois Il y a une R1, une 02 (BHO), et parfois deux lignes en 04, mais cela peut varier.
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74438457-6A87-4786-944D-40DCD6E9D58B}: NameServer = 206.47.244.79 206.47.244.138
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: interceptor.dll,msgplusloader.dll
O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Utilisation de LopXP
1) Ensuite , une fois reconnu, générer un rapport de LopXP, téléchargeable ici (Merci Moe31)
2) Double clic sur Lopxpsetup.exe pour lancer l'installation
Au menu, choisir l'option 1
Patienter jusqu'à que l'on demande d'appuyer sur une touche, appuyer !
Un rapport sera alors crée, à copier/coller en entier sur le forum.
A quoi sert-il ? Explication :
D'après ce que vous avez repéré dans HijackThis, vous le cherchez ici : (donc comme le chemin est indiqué dans le log, vous le recherchez afin d'avoir le nom complet !)
Le rapport de LopXP ressemble à ceci :
Rapport fait à 21:33:31,29 le 2005-12-25
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\Default User\Application Data
2004-07-22 10:09 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 fichier(s) 0 octets
3 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\All Users\Application Data
2005-12-23 08:51 <REP> Tenebril
2004-07-22 10:06 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 fichier(s) 0 octets
4 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\user\Application Data
2005-01-21 20:34 <REP> Motive
2004-08-30 10:23 <REP> Identities
2004-08-30 10:23 <REP> Microsoft
2004-08-30 10:23 <REP> ..
2004-08-30 10:23 <REP> .
0 fichier(s) 0 octets
5 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\ctrl\Application Data
2004-07-22 10:25 <REP> Identities
2004-07-22 10:24 <REP> Microsoft
2004-07-22 10:24 <REP> ..
2004-07-22 10:24 <REP> .
0 fichier(s) 0 octets
4 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\Default User.WINDOWS\Application Data
2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> ..
2005-01-22 12:15 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\All Users.WINDOWS\Application Data
2005-12-23 08:51 <REP> Tenebril
2005-12-15 17:34 <REP> Adobe
2005-10-14 22:46 <REP> Apple Computer
2005-08-31 14:04 <REP> Spybot - Search & Destroy
2005-08-29 13:29 <REP> vidctrl
2005-08-23 21:53 <REP> InstallShield
2005-04-14 16:41 <REP> AmokFirstGplProgram <<< repéré en 04
2005-04-08 13:44 <REP> Messenger Plus!
2005-02-27 12:41 <REP> Zylom
2005-01-23 18:48 <REP> Zero Knowledge
2005-01-22 15:34 <REP> MSN6
2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> .
2005-01-22 12:15 <REP> ..
1 fichier(s) 62 octets
14 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\Annie\Application Data
2005-12-23 09:00 <REP> Tenebril
2005-12-22 20:49 21920 GDIPFONTCACHEV1.DAT
2005-12-21 18:35 <REP> Lavasoft
2005-10-06 17:49 <REP> Real
2005-09-09 03:44 <REP> Style gpl title << repéré en 02
2005-08-25 18:57 <REP> Jasc
2005-07-02 14:24 <REP> Sun
2005-04-07 16:29 <REP> proc platform
2005-04-07 16:21 <REP> AdobeUM
2005-03-28 13:38 <REP> Mozilla
2005-03-24 20:22 <REP> Adobe
2005-03-12 23:04 <REP> Registry Cleaner
2005-02-16 22:07 <REP> Zylom
2005-01-26 22:13 <REP> Help
2005-01-23 18:51 <REP> Zero Knowledge
2005-01-22 16:30 <REP> Macromedia
2005-01-22 15:34 <REP> MSN6
2005-01-22 13:43 <REP> Identities
2005-01-22 13:43 62 desktop.ini
2005-01-22 13:43 <REP> ..
2005-01-22 13:43 <REP> .
2005-01-22 13:43 <REP> Microsoft
2 fichier(s) 21982 octets
20 R‚p(s) 3637395456 octets libres
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
Recherche des tâches planifiées dans C:\WINDOWS\Tasks
Afin que l'infection se supprime, il faut supprimer la tâche planifiée sinon elle revient systématiquement ; elle se repère comme ceci :
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\WINDOWS\Tasks
2005-12-21 15:59 264 ABF3A22291945C8E.job (Une série de lettres et de chiffres se terminant par .job)
2005-02-24 17:00 188 setup.job
2005-01-22 13:31 6 SA.DAT
2005-01-22 13:27 65 desktop.ini
2005-01-22 13:27 <REP> ..
2005-01-22 13:27 <REP> .
4 fichier(s) 523 octets
2 R‚p(s) 3ÿ637ÿ395ÿ456 octets libres
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
Recherche dans Program files
Le dossier C:\Program Files\C2Media n'existe pas <--- si C2media existe ici, il faut le faire supprimer !!!!
-.-.-.-.-.-.-.-.-.-.-.- Fin du rapport .-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
Manipulation pour supprimer l'infection
Imprimer, ou enregistrer la manip dans le bloc-notes pour être sûr de ne rien oublier et de tout faire dans l'ordre.
1/ Télécharger CleanUp 40
- Aide en image (merci à Balltrap34) ici
Déconnecter d'Internet et fermer tous les programmes en cours.
Redémarrer en mode sans échec
Redémarre le PC, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de Windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essaie F5)
Rendre visible les fichiers cachés et système
Panneau de configuration > Options des dossiers > onglet Affichage
Cocher la case devant " Afficher les fichiers et dossiers cachés "
Décocher la case devant " Masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " Masquer les fichiers protégés du système"
Cliquer sur [Appliquer] puis sur [OK] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lancer HijackThis et cliquer sur [Do a system scan only]
cocher la case au début des lignes suivantes :
ICI, les lignes d'HijackThis à fixer
Valider en cliquant sur le bouton [Fix Checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Rechercher et supprimer ces dossiers :
Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutôt que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime :
Les fichiers à supprimer avec les chemins exacts que l'on a pu extraire facilement de LopXP +C2Media s'il existe
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, fais Démarrer > Exécuter. Tape cmd puis valide avec OK.
Dans la fenêtre qui va s'ouvrir, copie et colle ceci :
del /a C:\WINDOWS\tasks\A0AFC843918446AF.job
Ici, la suppression de la tâche planifiée. Il suffit de remplacer la série en gras par celle trouvée dans LopXP (il se peut qu il y en ait +1)
et valide en appuyant sur Entrée
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, très important :
:: Supprimer les fichiers temporaires ::
Exécute Cleanup40.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redémarre normalement et reposte un Hijackthis sur le poste…
Sites sécurisés inaccessibles
http://www.pcastuces.com/newsletter/adj/1199.htm
S'il vous est impossible d'accéder à des sites sécurisés et que vous obtenez à chaque fois un message d'Internet Explorer qui vous dit qu'il est impossible d'afficher la page, plusieurs solutions sont possibles pour corriger le problème. D'une part, vous devez vérifier que les fonctions SSL sont bien activées dans Internet Explorer et d'autre part, vous devez réinscrire le fichier Softpub.dll dans le Registre.
Dans Internet Explorer, cliquez sur le menu Outils puis sur Options Internet. Cliquez ensuite sur l'onglet Avancé. Déroulez alors la liste Paramètres jusqu'à la rubrique Sécurité. Vérifiez alors que les cases SSL 2.0 et SSL 3.0 sont bien cochées. Si ce n'est pas le cas, cochez-les. Validez alors par OK.
Les Fix pour différents virus
La plupart des virus les plus répandus, les plus dévastateurs, ont un fix ( = petit programme de désinfection) afin de les éradiquer. Je vous renvoie sur ce site avant de pouvoir les consulter :
http://www.secuser.com/telechargement/desinfection.htm
Perte du thème XP
Suite à une infection, vous perdez votre thème XP et il est impossible de le remettre dans les options puisqu'il n'apparait plus ? Pas de panique...
Télécharger ceci et le décompresser : http://pageperso.aol.fr/Balltrap34/luna.zip
Ensuite, le mettre dans C:\WINDOWS\Resources\Themes\Luna et double-cliquer dessus
Ensuite, essayer de remettre le style XP
Infection dans les fichiers temporaires ou Temporary Internet Files
Pas de panique, c'est une infection mineure, il se peut que suite à un téléchargement, votre antivirus vous détecte une infection dans:
C:\Documents and Settings\ton compte\Local Settings\Temporary Internet Files\Content.IE5...
C:\Documents and Settings\ton compte\Local Settings\Temp...
C:\Documents and Settings\tous les autres comptes\Local Settings\Temp...
C:\Windows\Temp...
Rien de plus simple, 2 solutions :
Première solution : suppression à la mainAfficher les dossiers cachés
Cliquer sur Démarrer/Panneau de configuration/Outils/Options des dossiers/Affichage
Cocher « Afficher les fichiers et dossiers cachés »
Décocher la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher « Masquer les extensions dont le type est connu »
Puis cliquer sur «OK» pour valider les changements.
Et appliquer !
Vider le contenu des fichiers temporaires et Temporary Internet Files :
C:\Documents and Settings\ton compte\Local Settings\Temp
C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
C:\Windows\Temp
Vider le contenu du dossier Prefetch
C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
Ne pas oublier de vider la corbeille !
Deuxième solution : Utiliser Cleanup 40 (suppression automatique)
CleanUp 40 :
Aide en image (merci à Balltrap34) : http://pageperso.aol.fr/balltrap34/democleanup.htm
Mauvais anti spywares (rogues)
http://www.spywarewarrior.com/rogue_anti-spyware.htm
Un rogue signifie que ces produits sont de valeur inconnue, incertaine, ou douteuse comme protection d'anti-spyware. Certains des produits énumérés à cette page simplement n'assurent pas la protection prouvée et fiable d'anti-spyware ou peuvent être enclins aux positifs ou des faux ridicules. D'autres peuvent employer la tactique injuste, trompeuse, de pousse à la vente par des pubs des utilisateurs crédules, confus, inexpérimentés. Certains sont connus pour installer spyware/adware eux-mêmes.
Look to me
Cette infection est responsable de pubs lors de vos surfs, je vais vous proposer une seule méthode parmi d'autres, si celle-ci ne fonctionne pas, adressez-vous au forum virus/sécurité.
Générer un rapport HijackThis, concrètement, l'infection se présente comme ceci :
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\t08u0al9edq.dll
Comment désinfecter ?
Télécharger L2Mfix ici
Double-cliquer sur L2Mfix.exe pour lancer l'extraction.
Dans le dossier l2mfix, double-cliquer sur l2mfix.bat et choisir l'option #1 (et pas autre chose) et valider avec la touche entrée.
Le bloc-notes va s'ouvrir avec le résultat du scan.
Faire un copier-coller du résultat sur le forum.
Relancer L2Mfix et choisir l'option 2
Accepter le redémarrage du PC.
Vérifier que la 020 a disparu (si toujours présente, passer l'option 2 en sans échec, si cela ne fonctionne pas, vous pouvez utiliser KillBox ...)
Shop at home ou Home Search Assistant
Télécharger Cws-hsa.reg ici
Installez-le sur le Bureau et double-cliquer dessus.
ou
Télécharger Hsremove ici
Pokapoka récalcitrant
Pour pokapoka, il existe un bat qui le vire ainsi que d'autres fichiers qui ne sont pas visibles avec HijackThis.
Dans quelques rares cas, le dossier ETB n'est visible que sous dos.
http://users.telenet.be/bluepatchy/miek ... /LQfix.zip
(dézipper et lancer lqfix.bat en mode sans échec si possible)
Spybot "erreur de parité"
Changer de serveur dans la liste proposé par Spybot (bouton à côté de "recherche de mises à jour").
Choisir un avec (europe) écrit à côté du nom
Désinstaller Norton
http://service1.symantec.com/SUPPORT/IN ... 50414110...
Connaitre la liste des programmes dans Ajout/Suppression de programmes grâce à HijackThis
HijackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> Enregistre le fichier -> fais-en un copier/coller ici.
