toutes sécurités disparues

[Glenn]

Salut tout le monde.
La joie des retours de vacances...
Je ne sais pas ce qui s'est passé, il y a eu des utilisateurs sur mon pc, mais visiblement pas de problème, et moi, je rentre ce matin et plus rien ne marche...
Voici les symptomes :
J'utilise d'habitude AVG free edition et pas de problème, mais là, l'icone a disparu de la barre des taches.
Impossible de l'ouvrir ni du bureau, ni du menu demarrer.
Je suis envahi par les pop up dès que j'ouvre internet.
Et le plus étrange, dès que je tape antispyware sur 01.net ou autre ou dès que j'essaie d'ouvrir une sécurité de mon pc, les pages se ferment et je n'y ai pas accès.
Est-ce que quelqu'un aurait entendu parler de quelque chose comme ça???
Merci d'avance à tout ce qui auront une idée pour m'aider.
Bonne journée à tous....

[Jean-Marie]

Bonjour,

Ton PC est salement infecté, copie le topic dans le forum Sécurité informatique tu y trouveras toute l'aide possible.

Bonne chance
_________________
----------o00o----'(_)'----o00o----------

[Glenn]

Merci pour la réponse rapide,
je ne sais juste pas comment copier le topic, j'ai envoyé un message sur le forum "sécurité informatique", sans doute va-t-on m'expliquer comment faire.
Je te remercie encore,
Bonne soirée,
A +...

[Piero]

Bonsoir

Tu ne peux pas déplacet ton topic... Je vais le faire...
Mais je vais plutôt le déplacer dans le forum Désinfection des virus & analyses de logs HijackThis comme il semblerait que tu soit infecté...

• Rends toi sur cette page du site :
  
  
  • Télécharge, installe et nettoie ton pc avec CleanUp ou CCleaner
    
    
  • Fais un scan en ligne avec Panda
    
    
  • Télécharge et installe HijackThis
  
  
  
• Poste ton log HijackThis et le rapport de Panda en suivant ce qui est indiqué sur ce post it.

On te dira quoi faire ensuite.

@+

PS : je vais mettre à la corbeille l'autre topic que tu as créer puisqu'il n'a plus lieu d'être...

_________________

[Glenn]

Salut,
voilà, j'essaie de suivre les consignes que tu me donnes, mais encore une fois, impossible d'utiliser le cleaner ou de faire un scan sur panda. Je n'arrive pas à ouvrir les pages. J'ai juste fait une copie du log, peut-être que ça te dira quelque chose, je le mets à la suite :

Logfile of HijackThis v1.99.1

Merci en tous cas d'avoir répondu, à bientôt, en espérant que tu vois quelque chose pour me sauver... Bonne journée.

message édité par Jango78

[harmonia]

Bonjour Glenn,

Il faut que tu édites ton message. Postes ton log Hijackthis comme indiqué dans ce post-it.

[Jango78]

Bonjour all,

Pour Glenn... message édité exceptionnellement.

Merci à l'avenir de suivre les instructions du post-it indiqué par Piero.

[Glenn]

Salut,

désolé, mais je n'arrive pas à ouvrir le post-it.
Je pense alors que c'est foutu.
Merci

[Sév]

Bonjour à tous,

Il n'est pas étonnant que tu ne puisses pas ouvrir certaines pages vu la gravité des infections. Ceci étant dû principalement au fait que ton système d'exploitation et Internet Explorer ne sont pas à jour.

Pour autant j'aime bien les cas désespérés, on peut tenter de commencer une désinfection si tu veux

Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.

1. Télécharge & installe les outils suivants (si possible) :
   
   
   • Spybot S&D
     
   • Ewido Anti-Spyware : Fais les mises à jours, mais ne lance pas de scan pour le moment.
     
     Tu trouveras un tuto ICI pour son utilisation que je te conseille d'imprimer pour la suite de la procédure.
   
   
   
2. Crée un nouveau dossier dans C:\Program Files que tu nommeras BFU
   
   
3. Télécharge Brute Force Uninstaller de Merijn et dézippe-le dans le dossier BFU que tu viens de créer.
   
   
4. Télécharge alcanshorty.bfu de Metallica et dézippe-le également dans le dossier BFU.
   
   
5. Redémarre maintenant en mode sans échec
   
   
6. Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
   
   

   Citation:

   R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http//searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http//searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http//searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http//www.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http//searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http//searchbar.findthewebsiteyouneed.com R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll F2 - REG:system.ini: Shell=Explorer.exe msjava.exe F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,msjava.exe O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [defender] C:\\dfndrff_12.exe O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_12.exe O4 - HKLM\..\Run: [newname] C:\\nwnmff_12.exe O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msjava.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http//by23fd.bay23.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http//software-dl.real.com/2731f98e7f5c8a2a8306/netzip/RdxIE601_fr.cab O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http//dx.mastacash.com/loader.cab O20 - Winlogon Notify: SideBySide - C:\WINNT\system32\irnol5531.dll

   
   
   
7. Clique Fix Checked pour accepter les modifications.
   
   
8. Double clicque sur BFU.exe
   
   
9. A droite de la zone "Scriptfile to execute" tu cliques sur l'icône qui représente un dossier et tu vas chercher alcanshorty.bfu
   
   
10. Coche la case "Show log after script ends"
    
    
11. Clique sur Execute et attends que Complete script execution apparaisse et clique enfin sur Exit pour quitter le programme.
    
    
12. A la fin du scan tu dois obtenir le rapport sous forme de fichier texte que tu devras sauvegarder dans tes documents, afin de pouvoir poster le contenu sur ta prochaine réponse.
    
    
13. Lance Ewido AntiSpyware en suivant les indications du tuto, et sauvegarde le rapport.
    S'il te fait défaut, scanne ton pc avec Spybot S&D et supprime tout ce qu'il trouve.
    
    
14. Lance CCleaner et fais un nettoyage complet de ta machine. (tu devrais avoir moins de problèmes en mode sans échec pour l'exécuter)
    
    
15. Redémarre ton pc en mode normal, et applique tous les correctifs que tu trouveras sur cette page.
    
    
16. Poste les rapports de Ewido, de BFU ainsi qu'un nouveau log Hijackthis, en uploadant tes rapports si c'est possible, par l'intermédiare de CJoint.

Je te conseille vivement de ne pas rester connecté à Internet, hormis pour effectuer les opérations que je viens de te décrire afin d'éviter une surinfection.

Bonne chance

@+

PS : Sympa ta signature JM

[Glenn]

Salut et merci pour la réponse au défi lancé.
J'ai donc à peu près tout fait sauf spybot et ewido qui me sont encore inaccessibles.
J'ai fait une copie du log et du BFU.
J'ai encore du mal à comprendre l'histoire du Cjoint.
J'ai cliqué sur ton lien et j'ai choisi les fichiers log et BFU mais je ne sais pas comment les envoyer... Oups...
Sinon, et bien à priori, j'ai tout nettoyé, mais, si j'ai moins de pop-up, j'ai encore la toolbar yahoo, puis la 888 (???) qui s'est installée.
Je n'ai toujours pas accès à mes anti spy... et pas d'AVG non plus.
Donc voilà où j'en suis.
Ca à l'air mieux, mais pas encore tout à fait ça.
Merci en tous cas pour le temps pris...
Peut-être qu'on y est presque, non???
Merci à tous, bonne soirée.

[Sév]

[Glenn]

Alors là, bravo, bravo, bravo....
Ca va beaucoup mieux.
J'ai encore des pop-up qui arrivent, mais maintenant, je peux utiliser AVG l'icone est réapparue, et j'ai même pu utiliser spybot.
Donc, tout va beaucoup mieux.
Maintenant alors, je me lance sur Cjoint.
Allez, j'essaie
http://cjoint.com/?ixvXIuur6I
et
http://cjoint.com/?ixvZiMHnrS

Bon, j'ai l'impression que ça doit être ça.
J'espère que ça pourra décoincer la situation.
Merci encore pour l'attention portée.
A +.

[Sév]

Bonjour Glenn,

Voilà une bonne chose de faite pour ton AV

Par contre, il reste du travail, pour guérir ta machine.

1. Télécharge et installe a² Free, et fais les mises à jour.
   
   
2. Télécharge Look2Me Destroyer de Attribune et WINSCK.OCX, ne touche à rien d'autre pour l'instant.
   
   
3. Télécharge également ces deux outils et laisse les en attente sur ton bureau pour le moment :
   
   
   • Delldomains.inf --> Clique droit sur le lien et choisis enregistrer sous dans le menu contextuel.
     
     
   • Hoster
   
   
   
4. Débranche ta connexion internet et ferme tous les programmes en cours.
   
   
5. Lance Look2Me Destroyer, pour ce faire:
   
   
   • Coche la case "run this program as a task".
     
   • Un message t'indiquant que le programme va se fermer et se réouvrir va apparaitre, clique sur OK
     
   • Quand Look2Me Destroyerréapparait clique sur "Scan for L2M", les icones du bureau vont disparaitre, c'est normal.
     
   • Quand le scan est terminé, clique sur le bouton "Remove L2M"
     
   • Clique sur OK au prochain message.
     
   • Une fois le nettoyage terminé, ce message apparaitra: Done removing infected files! Look2Me-Remover will now shutdown your computer, clique OK.
     
   • Ton PC s'arrêtera.
     
   • Redémarre en mode normal, puis, une fois démarré redémarre en mode sans echec.
     
     Si au lancement de l'application, tu reçois un message d'erreur, place MSWINSCK.OCX (que tu as téléchargé précédemment) dans le dossier C:\Windows\System32
   
   
   Une fois en mode sans échec :
   
   
6. Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
   
   

   Citation:

   O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll O4 - HKLM\..\Run: [Windows Updates] winauclt.exe O4 - HKLM\..\RunServices: [Windows Updates] winauclt.exe O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msjava.exe O4 - HKCU\..\Run: [Windows Updates] winauclt.exe O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http//game11.zylomgames.com/activex/zylomloader.cab O20 - Winlogon Notify: RunOnceEx - C:\WINNT\system32\dn4s01h7e.dll

   
   
   
7. Clique Fix Checked pour accepter les modifications.
   
   
8. Lance un scan complet avec a² Free et supprime tout ce qu'il trouve
   
   
9. Même chose avec Ewido, mais n'oublie pas de sauvegarder le rapport pour le poster sur ta prochaine réponse.
   
   
10. Supprime ce dossier : C:\Program Files\ToolBar888 si présent et vide la corbeille.
    
    
    
11. Fais un clic droit sur le fichier DellDomains.inf, dans le menu contextuel choisis installer.
    
    
12. Double-clicque sur Hoster
    
    
    • Clique sur Restore original Hosts et rien d'autre
      
      
    • Ferme le programme
      
      
    • Suis ce chemin de fichier dans l'explorateur de Windows : C:\WINDOWS\system32\drivers\etc (assure toi d'avoir accès aux fichiers cachés avant)
      
      
    • Repère les fichiers lmhosts.sam et HOSTS, clicque droit sur chacun d'entre eux, choisis Propriétés dans le menu contextuel et coche la case Lecture seule
    
    
    
13. Nouveau nettoyage avec CCleaner
    
    
14. Redémarre en mode normal
    
    
15. Réessaie de faire le scan en ligne avec Panda et poste le rapport
    
    
16. N'oublie pas les rapports de Look2me Destroyer et de Ewido
    
    
17. Nouveau log HijackThis.

Bon courage
@+
_________________


> Soutenez le Tibet <

[Glenn]

Salut Loreleï,
Voilà je crois que j'ai bien tout fait ce que tu m'as dit de faire....
Ca a l'air d'aller beaucoup mieux, j'ai accès à tout et il n'y a plus de pop-up.
J'ai l'impression qu'il reste encore des traces de quelque chose quand même, vu les résultats des scans.
Je te les envoie à suivre...
http://cjoint.com/?iyoXPlW2uc

http://cjoint.com/?iyoYSUVUjA

http://cjoint.com/?iyoZKaLdpt

http://cjoint.com/?iyo0oFIeJi

Voilà, je pense que tu as tout.

Je te remercie pour le temps passé à mon affaire...
Bravo pour le travail engagé,
A +.

[Sév]

C'est pas mal du tout

Il reste un peu de ménage à faire et à sécuriser ton pc

1. Désactive la restauration du système et réactive la aussitôt,
   
   
2. Télécharge F-Bot.zip (attention 5.9 Mo) -- > Dézippe le sur ton bureau
   
   
3. Redémarre en mode sans échec et lance F.Bot qui devrait réussir à te débarasser des cendres du worm qui a infecté ta machine.
   
   
4. Relance Ewido Antispyware (toujours en mode sans échec) et clique sur Apply all actions à la fin du scan pour qu'il puisse supprimer ce qu'il trouve.
   
   
5. Nouveau nettoyage avec CCleaner
   
   
6. Redémarre en mode normal
   
   
7. Fais un scan en ligne avec KAV et poste le rapport
   
   
8. Nouveau log HijackThis.

Je te conseille d'installer un parefeu assez rapidement pour te protéger des attaques et éviter que Rbot ne se réinstalle, ta version de Windows en étant dépourvue. Tu en trouveras quelques uns gratuit sur ce topic.

@+
_________________


> Soutenez le Tibet <