Ordinateur infesté par virus : SpySheriff, Lop, CWS [Résolu]

[barbiedeparis]

Bonjour,

Il y a quelques jours j'ai voulu cracker un logiciel et depuis je me suis aperçue que mon ordinateur avait quelques soucis (voilà ce que c'est de vouloir faire sa maligne )
J'ai remarqué que je ne pouvais plus activer le pare-feu windows, je n'y ai plus accès, du coup j'ai fait un scan avec mon anti-virus qui m'a détecté qqs virus que j'ai réussi à éradiquer mais je pense qu'AVG n'a malheureusement pas tout détecté.

Ma configuration est la suivante : windows xp professionnel (service pack 2)

Voici les différents rapports que j'ai réalisé via Panda, Smitfraud, et HijackThis :

http://cjoint.com/?cwkzjILA6O
http://cjoint.com/?cwkLyZEdH2
http://cjoint.com/?cwkLZzlIzo
http://cjoint.com/?cwkMwC3gJ6
http://cjoint.com/?cwkMZH5bmm

J'espére vous avoir fourni tous les éléments nécessaire.
Je vous remercie par avance pour votre aide (j'en profite également pour vous préciser que j'ai très peu de connaissances informatiques).

Bien cordialement.

[Sév]

Bonjour & bienvenue,

Il y a du monde en effet

On va faire un premier coup de nettoyage, on y verra plus clair ensuite

Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.

1. Télécharge et installe les outils suivants en prenant connaissance des tutos :
   
   
   • CleanUp
     
     
   • CCleaner (télécharge le à partir du lien de l'éditeur)
     
     
   • Spybot S&D
     
     
   • about:buster et imprime le tuto
   
   
   
2. Télécharge CWShredder, n'y touche pas pour le moment
   
   
3. Télécharge LopRemover (pose le sur ton bureau, et n'y touche pas non plus)
   
   
4. Télécharge & installe Ewido Suite. Mets le à jour, mais ne le lance pas pour le moment.
   
   
5. Débranche ta connexion internet pour éviter les downloads silencieux
   
   
6. Vide la quarantaine de ton antivirus résident
   
   
7. Lance CleanUp en laissant les options par défaut.
   
   
8. Redémarre en mode sans échec
   
   
9. Double clique sur LopRemover, il va se charger de désinstaller Lop
   
   
10. Lance CWShredder, clique directement sur Fix. (s'il trouve quelque chose note le nom de la variante de CWS trouvée et donne le moi)
    
    
11. Lance about:buster (2 fois comme c'est expliqué sur le tuto)
    
    
12. Fais un premier nettoyage avec Spybot : supprime tout ce qu'il trouve et vide sa quarantaine ensuite.
    
    
13. Ouvre Ewido et avant de scanner, règle les paramètres suivants :
    
    
    • Clique sur "scanner" puis sur "scan complet du système"
      
      
    • Garde l'option par défaut "Supprimer" et vérifie que la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" est cochée.
      
      
    • A la fin du scan, sauvegarde le rapport pour le poster
    
    
    
14. Lance CCleaner
    
    
    • Clique sur Nettoyeur puis Lancer le nettoyage
      
      
    • Clique ensuite sur Erreurs puis Chercher des Erreurs et Réparer (une copie de sauvegarde va t'être proposée, accepte là)
    
    
    
15. Redémarre ton pc normalement
    
    
16. Nouveau scan & rapport de Panda
    
    
17. Scan & rapport de KAV
    
    
18. Nouveau log HijackThis (Do A System Scan and Save A Logfile)
    
    
19. Poste le rapport de Ewido et éventuellement celui de about:buster s'il trouve quelque chose.

[barbiedeparis]

Bonsoir Loreleï,

Une grand merci de t’occuper de mon cas

J’ai suivi la procédure à la lettre et dans l’ordre comme indiqué et voici les résultats :

CWShredder : « Removed the following (1) variant : 1.CWS.Aff.Toolband »
Rapport Ewido : http://cjoint.com/?cxbNaKhb4n
Rapport Ccleaner : http://cjoint.com/?cxbNDEuItb
Rapport Panda : http://cjoint.com/?cxbN3NFFT3
Rapport Kaspersky : http://cjoint.com/?cxbOq3KDzO
Nouveau Hijackthis : http://cjoint.com/?cxbOPpVti0

Mon anti-virus AVG continue à détecter des virus, que dois-je faire ? Les effacer, les mettre en quarantaine ? Je n’ose plus toucher à rien….

En ce qui concerne le pare-feu lorsque j’y accède via l’icône (écusson rouge avec une croix blanche dans la barre de menu en bas à droite) il m’indique qu’il est désactivé, mais lorsque je veux l’activer la boîte de dialogue suivante s’affiche : « Désolé le centre de sécurité n’a pas pu activer le pare-feu. Pour tenter d’activer soi-même le pare-feu, sélectionnez pare-feu dans le panneau de configuration… »
Lorsque j’essaie d’y accéder via le panneau de configuration, il m’affiche la boîte suivante : « En raison d’un problème non identifié Windows ne peut afficher les paramètres du pare-feu Windows »

Alors c’est grave docteur ????
Merci

[Sév]

Bonsoir,

Il y a encore pas mal de monde, on continue

• Désinstalle Msn Plus par Ajout / Suppression de Programmes, tu pourras le réinstaller plus tard en refusant le sponsor.
  
  
• Vide la quarantaine de ton antivirus résident
  
  
• Télécharge & installe Killbox--> Imprime le tuto
  
  
• Ouvre le bloc notes, copie et sauvegarde cette liste. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
  
  

  Citation:

  C:\Documents and Settings\Administrateur\Application Data\Play Mp3\drive meal grid.exe C:\Documents and Settings\Administrateur\Application Data\Play Mp3\fftajtwq.exe C:\Documents and Settings\Administrateur\Application Data\Play Mp3\gewfgvmy.exe C:\Documents and Settings\Administrateur\Application Data\Play Mp3\rect style clock tool.exe C:\Documents and Settings\Administrateur\Application Data\Play Mp3\zqwicxrn.exe C:\Documents and Settings\Administrateur\Application Data\up funk\downloadhelp.exe C:\Documents and Settings\Administrateur\Application Data\Play Mp3\junkuser.exe C:\Documents and Settings\Administrateur\Local Settings\Temp\28da47.exe C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\F2TNZAQX\upAYB_unk[1].int D:\Mes documents\Meda\Muzik\Wicked Remix.wma C:\WINDOWS\SYSTEM32\azebar.xml C:\WINDOWS\SYSTEM32\Winserv.exe C:\WINDOWS\drsmartload95a.exe C:\WINDOWS\uniq C:\WINDOWS\system32\loader.exe C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.exe C:\WINDOWS\system32\cme.exe C:\WINDOWS\system32\gmt.exe C:\WINDOWS\system32\sysu.exe C:\WINDOWS\msxmlfilt.dll

  
  
  
• Télécharge cet uninstall de PurityScan.
  
  
• Débranche ta connexion internet et ferme tous les programmes en cours.
  
  
• Exécute l'uninstall que tu as téléchargé
  
  
• Redémarre en mode sans échec
  
  
• Relance HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
  
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http//www.jmhxebbtcmggtwhuldjfuqbn.com/opMxcbYezOQQnFsWkdvHCyJ5swuwY97pVUFxDOio xggGwY4X4HwvzbsepJ8hNkSM.html
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http//www.audsukdzreornme.uk/opMxcbYezORusqjz5sae7exmJybwnzmRfsFAL1JiFnE.html
  F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.exe"
  O2 - BHO: (no name) - {59F591FB-408A-498F-3AC3-F01F231AD4AD} - C:\DOCUME~1\ADMINI~1\APPLIC~1\UPFUNK~1\downloadhelp.exe
  O2 - BHO: (no name) - {8702d9e1-890b-4bf2-a233-fa44e582b2de} - (no file)
  O2 - BHO: (no name) - {9EAC0102-5E61-2312-BC2D-000000000000} - (no file)
  O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-716d74632608} - (no file)
  O2 - BHO: (no name) - {d53b810f-6219-11d4-95b6-0040950375e7} - (no file)
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [cme] C:\WINDOWS\system32\cme.exe
  O4 - HKLM\..\Run: [gmt] C:\WINDOWS\system32\gmt.exe
  O4 - HKLM\..\Run: [Dynamic Desktop Media] C:\WINDOWS\system32\sysu.exe
  O4 - HKLM\..\Run: [CWS hijacker] C:\WINDOWS\msxmlfilt.dll
  O4 - HKLM\..\Run: [Four For Gram Stupid] C:\Documents and Settings\All Users\Application Data\Sign Ping Four For\birdsixth.exe
  O4 - HKCU\..\Run: [Bashhope] C:\DOCUME~1\ADMINI~1\APPLIC~1\PLAYMP~1\JunkUser.exe
  O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.exe"
  
  
• Clique sur Fix Checked et accepte les modifications.
  
  
• Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.
  
  
• Redémarre de nouveau en mode sans échec
  
  
• Donne toi accès aux fichiers cachés
  
  
• Supprime les dossiers / fichiers suivants si présents et vide la corbeille :
  
  C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5 --> le contenu du dossier seulement
  C:\Documents and Settings\Administrateur\Application Data\up funk
  C:\Documents and Settings\Administrateur\Application Data\Play Mp3
  
  
• Relance CWShredder
  
  
• Fais un nouveau scan complet avec Ewido et sauvegarde le rapport.
  
  
• Nouveau passage de CCleaner
  
  
• Redémarre normalement
  
  
• Nouveaux scans & rapport de Panda et KAV
  
  
• Poste le rapport de Ewido
  
  
• Nouveau log HijackThis.

[barbiedeparis]

Bonjour,

Me revoilou après un long moment....
J'ai suivi toutes tes instructions, voici les résultats (à mon avis y'a encore du monde la dedans !)

CWShredder : n'a rien trouvé.

Supprime les dossiers / fichiers suivants si présents et vide la corbeille :

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5 --> le contenu du dossier seulement
C:\Documents and Settings\Administrateur\Application Data\up funk
C:\Documents and Settings\Administrateur\Application Data\Play Mp3
ces fichiers n'étaient pas dans l'ordi

Rapport Ewido : http://cjoint.com/?droizdPNpg

Rapport Panda : http://cjoint.com/?droiYMbME5

Rapport KAV : http://cjoint.com/?drojroCYe2

Rapport HijackThis : http://cjoint.com/?droj6CnwML

Sinon en ce qui concerne le pb du pare-feu, il est résolu merci beaucoup.

Bon j'espère qu'on en arrivera à bout.

Encore merci de ton aide

[Sév]

Bonjour,

[barbiedeparis]

Bonjour Loreleï,

J'ai trouvé le dossier Play MP3 et l'ai supprimé.
Par contre je n'ai pas trouvé Sign Ping Four For...

Voici le rapport Ewido : http://cjoint.com/?duqreGi3V1

Je n'ai pas réussi à faire le scan sur Panda, à chaque fois il me met qu'une erreur est survenue au cours de l'installation, c'est étrange car jusqu'à présent je n'ai aucun pb, j'ai essayé à plusieurs reprises à un moment il m'a demandé un mot de passe.

Voici le rapport de KAV : http://cjoint.com/?duqtuFiS3P
Et HijackThis : http://cjoint.com/?duqum7weL5

Apparement y'a encore du boulot...

[barbiedeparis]

Ca y est j'ai réussi à faire le scan avec Panda !!!
Voici le rapport : http://cjoint.com/?duucAGyKen

[Sév]

C'est beaucoup mieux

Tu vas supprimer ton ancienne version de SmitfraudFix, et appliquer la procédure qui est ici.

Poste moi les deux rapports de ta nouvelle version de SmitfraudFix et on verra pour le reste ensuite.

@+

[barbiedeparis]

Bonsoir,

Voici les rapports que tu m'as demandé.

Smitfraud 1 & 2
http://cjoint.com/?dvvHQc0IKD
http://cjoint.com/?dvvIT15Aex

Panda : http://cjoint.com/?dvvJNGgYns

HiJackThis : http://cjoint.com/?dvvKzntYyK

Encore merci de ta précieuse aide, bonne soirée.

[Sév]

Bonjour,

1. Supprime ces deux fichiers et vide la corbeille :
   
   
   C:\WINDOWS\security.html
   C:\Documents and Settings\Administrateur\Bureau\lopremover.exe
   
   
2. Désactive la restauration du système et réactive la aussitôt. Cela permettra d'éliminer les points de restau infectés.

Le reste est clean

@+

[barbiedeparis]

Bonsoir,

J'ai effacé les fichiers et desactivé et réactivé la restauration du système.

Y'a plus rien alors ?????....

[Sév]

Non, il n'y a plus rien

Pas d'autres soucis ?

@+

[barbiedeparis]

Non non pas d'autres soucis.
Je voudrais te dire un grand grand merci de m'avoir aidée (c'est extrêmement sympa de m'avoir consacré tout ce temps !) et te féliciter pour ton efficacité
Et bravo pour votre site qui est vraiment très convivial et très intéressant.

à bientôt peut-être...
Encore merci
Barbiedeparis

[Sév]

De rien et merci du retour