Winfixer2005, ErrorSafe, Istbar, SurfAccuracy [Résolu]

[kryss]

Bonjour

Cette fois ce n'est pas moi qui ai fait des bétises, mais une famille d'amis qui trouvait que leur machine ramait un peu....
J'ai donc récuppéré la-dite machine et proposé mon aide.

Voici donc un scan de panda + log Hijackthis.

http://cjoint.com/?bEtSYAtN4b

http://cjoint.com/?bEtVbLg6Mm

Pourriez vous m'indiquer la marche à suivre pour faire un peu le ménage ?
Merci beaucoup d'avance pour votre aide précieuse

[kryss]

Bon entre temps je me tourne pas les pouces

J'ai passé A², voici le rapport : http://cjoint.com/?bEw4rD2Lc3
Et j'ai bien sûr supprimé tout ce qu'il a pu trouver

[Sév]

Bonjour Kryss


Il y a du monde

• Désactive la restauration du système pour supprimer les points de restauration infectés et réactive la aussitôt.
  
  
• Crée un nouveau point de restauration du système avant de poursuivre la procédure :
  
  
  • Démarrer / tous les programmes
    
    
  • Accessoires
    
    
  • Outils systèmes
    
    
  • Restauration du système
    
    
  • Coche la case "Créer un point de restauration"
    
    
  • Nomme le comme tu veux
    
    
  • Clique sur "Créer" et ferme la fenêtre
  
  
• Télécharge & installe les outils suivants :
  
  
  • Killbox--> Imprime le tuto
    
    
  • About:Buster--> Imprime le tuto
    
    
  • Hoster --> Dézippe le sur ton bureau, n'y touche pas pour le moment
    
    
  • DellDomains.inf --> Clique droit sur le lien et choisis enregistrer sous. N'y touche pas pour le moment
    
    
  • CWShredder
    
    
  • CCleaner---> Imprime le tuto
  
  
  
• Ouvre le bloc notes, copie et sauvegarde cette liste de fichiers. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
  

  Citation:

  C:\PROGRAM FILES\ISTSVC\istsvc.exe C:\Program Files\Blhmcbp\Qtvam.exe C:\Program Files\Fichiers communs\ErrorSafe\PCheck.dll C:\Program Files\Fichiers communs\WinFixer 2005\FCrXML.dll C:\Program Files\Fichiers communs\WinFixer 2005\uwappchk.dll C:\Program Files\Internet Optimizer\optimize.exe C:\Program Files\Internet Optimizer\update\rogue.exe C:\Program Files\ISTsvc\istsvc.exe C:\Program Files\SideFind\sfbho.dll C:\Program Files\SideFind\sidefind.dll C:\Program Files\SideFind\update\sidefind.exe C:\Program Files\SurfAccuracy\SAcc.exe C:\Program Files\SurfAccuracy\SAccU.exe C:\Program Files\YourSiteBar\ysb.dll C:\WINDOWS\nem220.dll C:\WINDOWS\system32\drivers\erssdd.sys C:\WINDOWS\wsem303.dll C:\WINDOWS\dwkayisk.exe C:\WINDOWS\nem220.dll

  
  
  
• Débranche ta connexion internet à partir de maintenant
  
  
• Lance CCleaner comme c'est expliqué sur le tuto.
  
  
• Redémarre en mode sans échec
  
  
• Lance About:buster et clique sur Begin Removal. A la fin du scan, relance-le une seconde fois pour terminer le processus d'éradication.
  
  
• Lance CWShredder, clique directement sur "Fix" (s'il trouve quelque chose note le nom de la variante de CWS trouvée et donne le moi)
  
  
• Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
  
  R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
  O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
  O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\Downloaded Program Files\sponsoradulto.dll
  O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
  O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
  O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll
  O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
  O4 - HKLM\..\Run: [pCEvfDx] C:\WINDOWS\dwkayisk.exe
  O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
  O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
  O4 - HKLM\..\Run: [pCEvùõš/‚²‘ÆßfÏNb‰C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\dwkayisk.exe
  O4 - HKLM\..\Run: [Kelvcqui] C:\Program Files\Blhmcbp\Qtvam.exe
  O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
  O14 - IERESET.INF: START_PAGE_URL=http://www.unika.com
  O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http//www.tbcode.com/ist/softwares/v4.0/ysb_regular.cab
  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http//by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
  O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} (SponsorAdulto Class) - http//ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab
  
  
• Clique sur Fix Checked et accepte les modifications.
  
  
• Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.
  
  Il est probable que tu ne trouves pas toutes les lignes avec HJT et que Killbox ne trouve pas tous les fichiers, suite à l'utilisation de a² Free.
  
  
• Redémarre de nouveau en mode sans échec
  
  
• Fais un clic droit sur le fichier DellDomains.inf, dans le menu contextuel choisis installer.
  
  
  
• Double-clicque sur Hoster
  
  
  • Clique sur Restore original Hosts et rien d'autre
    
    
  • Ferme le programme
    
    
  • Suis ce chemin de fichier dans l'explorateur de Windows : C:\WINDOWS\system32\drivers\etc
    
    
  • Repère les fichiers lmhosts.sam et HOSTS, clicque droit sur chacun d'entre eux, choisis Propriétés dans le menu contextuel et coche la case Lecture seule
  
  
  
• Donne toi accès aux fichiers cachés
  
  
• Supprime les dossiers / fichiers suivants :
  
  C:\Program Files\Blhmcbp
  C:\Program Files\Fichiers communs\ErrorSafe
  C:\Program Files\Fichiers communs\WinFixer 2005
  C:\Program Files\Internet Optimizer
  C:\PROGRAM FILES\ISTSVC
  C:\Program Files\SideFind
  C:\Program Files\SurfAccuracy
  
  
• Vide la corbeille
  
  
• Nouveau passage de a² free
  
  
• Nettoie de nouveau avec CCleaner
  
  
• Redémarre normalement
  
  
• Nouveau scan de Panda & rapport
  
  
• Fais un scan en ligne avec KAV & poste le rapport
  
  
• Nouveau log HijackThis (Do A System Scan and Save A Logfile)

Je ne vois pas de trace d'antivirus sur le log.

Il va falloir en installer un d'urgence, une fois que tu auras fait cette procédure. Tu peux installer Avast qui est gratuit ou Ewido , payant mais il y a une période d'essai de 15 jours.
Il sera plus efficace que Avast, car il est capable de nettoyer les spywares.
De plus à l'issue de la période d'essai, il est possible de le conserver pour faire un scan ponctuel mais les updates automatiques et la protection en temps réel ne seront plus disponibles.

Si les propriétaires du pc, veulent bien investir dans un antivirus performant, conseille leur Kaspersky ou Nod32.

Bon courage
@+

[kryss]

Salut Loreleï

Oui j'avais vu qu'il y avait du monde

Bon je m'y mets, je te tiens au courant.

Merci beaucoup du coup de main

[kryss]

Coucou c'est re-moi

Alors, j'ai suivi la procédure que m'a donnée Loreleï, tout c'est bien passé, sauf :

au moment de fixer les lignes dans HJT, je n'ai pas tout trouvé, et à un moment, quand j'ai coché la case

[Sév]

Re

[kryss]

Coucou Loreleï

Quand j'ai voulu scanner avec KAV, j'ai eu la page qui dit que "la page recherchée est indisponible" (un truc comme ça..)
Mais là je viens d'essayer, ça a l'air de fonctionner. Donc j'irai tout à l'heure.

Pour les fichiers Symantec, renseignements pris auprès des utilisateurs, c'est bien Norton qu'ils ont tenté de désinstaller. Les fichiers sont dans C:\Program Files\Symantec .

Et je les ai vu les fichiers YourSiteBar, je me demandais justement ce que c'était

Bon, je m'y recolle. Je te tiens au courant


edit : sais tu combien coute Kaspersky ? parce que à priori ce serait bon pour qu'ils paient un antivirus. Quitte à faire autant leur mettre qqchose qui les protège vraiment bien
Aussi, l'ordinateur est paramétré avec des cessions d'utilisateurs. Il faut choisir un profil pour ouvrir le pc. Est ce embétant ? tout le ménage que je fais se fait bien sur toutes les cessions ?
Enfin, je me pose une question : le fait d'avoir créer une nouvelle restauration système avant de faire le ménage ? ça pas faire que tout pourra revenir ensuite ? à moins qu'on ne crée un nouveau point de restauration une fois que tout sera fini ??

[kryss]

Loreleï

Lorsque j'ai fait

[Sév]

Bonjour Kryss

[kryss]

[Sév]

Bonjour Kryss,

[kryss]

coucou loreleï

Alors, j'ai bien trouvé le fichier Errorsafe, il était dans C:\Programs Files.

Et voici de nouveau
le rapport de Ewido : http://cjoint.com/?cfuzp4U0Xq
le rapport de Panda : http://cjoint.com/?cfuzNqjLPh
et le log HJT : http://cjoint.com/?cfuAiyyzXE

Merci beaucoup pour ton aide précieuse

[Sév]

Bonjour Kryss,

C'est beaucoup mieux

Fais un scan en ligne avec PestPatrol qu'on voit si il nous trouve les clés de SurfAccuracy que Panda n'arrive pas à localiser.

Fais un copier / coller du rapport dans le bloc notes pour pouvoir l'uploader sur ta prochaine réponse.

Comment va le pc ?

@+
_________________

[kryss]

Salut

Le pc va mieux, rame un peu moins
Mais comme il n'a pour l'instant que 256 de ram, c'est toujours un peu galère..... jusqu'à ce qu'on rajoute une ou deux barettes, ce qui est au programme pour très bientôt

[Sév]

Salut Kryss

Et le rapport PestPatrol, l'est où ?
_________________