malware DyFuCA et istbar [Résolu]

[neau]

suite aux conseils de loreleï les 2 logs après toutes les actions préconisees
hijet activscan

Log HijackThis


Incident Statut Analyse

Adware:Adware/nCase No Désinfecté C:\Temp\salm.???
Adware:Adware/SAHAgent No Désinfecté Registre Windows
Spyware:Spyware/ISTbar No Désinfecté C:\Documents and Settings\organisation\Local Settings\Temporary Internet Files\Content.IE5\SBK78NAB\gamma[1].exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\Documents and Settings\organisation\Local Settings\Temporary Internet Files\Content.IE5\SBK78NAB\gamma[1].exe[re11.REG]
je lis le post suivant....

@+

[Sév]

Bonsoir Neau,

essai post ???? Rien n'apparaît sur le forum!!!

Si ne t'inquiète pas tes posts sont bien passés.

On pourrait peut-être en enlever un ou deux ?

As-tu lancé HJT toutes applications fermées ? Je ne crois pas, il reste Internet Explorer et Msn au moins.

Arrête le process C:\WINDOWS\System32\IExplore327.exe

Le process d'Internet Explorer est C:\WINDOWS\IEXPLORE.EXE

Fix ceci :
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.shareware.us/srchasst.html
O4 - HKLM\..\RunServices: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKLM\..\Run: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKCU\..\Run: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

Tu ne m'as pas dis ce qu'ont trouvé les divers scans que je t'avais demandé de faire.
Et Regseeker, tu l'as passé ou pas ?

Une question importante : Tu as du matériel de marque Logitech ?

Attention à la suite de cette procédure : il va falloir aller supprimer des clés dans la base de registre de windows.

Donc avant tout tu dois la sauvegarder avant de toucher à quoi que ce soit

Fais démarrer/exécuter/tape regedit
Fais Fichier / Exporter...
Choisis un emplacement sûr pour la sauvegarder (par exemple si ton disque est partitionné, choisis la partition où n'est pas installé windows)
Et sauvegarde en suivant attentivement l'exemple ci-joint.



Maintenant il va falloir que tu cherches dans le registre la clé suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Et dans la fenêtre de droite tu supprimes "SAHBundle"="%Temp%\bundle.exe"

Même chose pour HKEY_LOCAL_MACHINE\Software \VGroup --> Supprime cette clé.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -- >Supprime tout ce qui est VirtualBouncer

Fais Edition / Rechercher -->tape VirtualBouncer et supprime les clés une à une.
Recommence plusieurs fois, la recherche est en mode unique.
Fais la même recherche et suppression pour IExplorer7

Ferme le registre.

Passe Regseeker comme je te l'ai dis dans mon post précédent.
Redémarre en mode sans échec et passe Spybot, Ad-aware, MS Antispyware et CWShredder.

Pense bien à toujours vider tous tes dossiers temporaires avant d'entreprendre une action de nettoyage, sinon ça ne sert à rien.

Nouveau log et nouveau scan avec Panda.

@+

[neau]

Pour loreleï et pow-wow qui m'ont bien aidé et tous ceux qui me lirons.


Après beaucoup de manipulations et d'essais de programmes tous plus éfficace les uns que les autres, 2 formatages plus tard , les pbs se sont éclaircis . Le responsable WINDOWS MEDIA PLAYER 10 lors de son installation , ce programme réclame une connexion qu' il utilise entre autre pour infecter gravement le PC. selon spybot CE LOGICIEL EST BOURRE DE SPYWARE ET DE VIRUS .
Je m'en suis rendu compte après le premier formatage en passant systématiquement spybot et ad aware après chaque opération sur le pc (y compris les mises a jour le de spy et ad).
Quand le pc est infecté par ce programme , ont perd rapidement toutes possibilités d' affichage de page web et donc d'accès a internet ,c'est la raison pour laquelle je n'ai pas pu vous répondre rapidement. Tout les programmes anti spy et virus ne peuvent en venir a bout.

grand merci a vous qui m'avez consacré du temps pour m'aider à résoudre ce problème.


PB RESOLU

[Sév]

Bonsoir Neau

Après beaucoup de manipulations et d'essais de programmes tous plus éfficace les uns que les autres, 2 formatages plus tard , les pbs se sont éclaircis . Le responsable WINDOWS MEDIA PLAYER 10 lors de son installation , ce programme réclame une connexion qu' il utilise entre autre pour infecter gravement le PC. selon spybot CE LOGICIEL EST BOURRE DE SPYWARE ET DE VIRUS .
Je m'en suis rendu compte après le premier formatage en passant systématiquement spybot et ad aware après chaque opération sur le pc (y compris les mises a jour le de spy et ad).
Quand le pc est infecté par ce programme , ont perd rapidement toutes possibilités d' affichage de page web et donc d'accès a internet ,c'est la raison pour laquelle je n'ai pas pu vous répondre rapidement. Tout les programmes anti spy et virus ne peuvent en venir a bout.

Tu parles bien de ça ?

Effectivement c'est un problème connu, mais Microsoft a publié les correctifs au mois de février dernier.
Maintenant quand tu t'es connecté à Internet, avais-tu activé ton pare-feu, et mis à jour ton AV, avant de farie tes mises à jour Windows ?
Car même si il existe une faille de sécurité sur le WM, les bases anti virales elles sont à jour.

++

[neau]

non je n'avais pas fait , c'est sans doure la raison de mes soucis .

je me suis ratrappé depuis mais existe t'il un moyen ?et si oui le quel ?pour mettre a jour le pare feu ????
Autre petit souci actuel, je constate que ad aware qui machait très bien jusque là (y compris les maj)est dans l'impossibilité de se mettre a jour. message SERVEUR INDISPONIBLE et impossible de mettre en quarantaine se qu'il trouve: cookie tracking( il se fige a ce moment là)
par ailleurs,
J' ai passer activescan >tout est nikel, spybot >tout est nikel
stinger >tout est nikel.
j'ai fait un nettoyage des registre avec regseeker.

Voici un nouveau log hijackthis. (ça peut t'aider)


Log HijackThis



@+

[Pow-wow]

Ferme tous les programmes, y compris internet explorer.
Lance HijackThis "Do a system scan only". Coche ces lignes et clique "Fix checked".

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [Generic Host Process326a System Backup] scvhost326a.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe /!\ à l'orthographe, winIogon ou winiogon à supprimer mais pas winlogon
O4 - HKLM\..\Run: [Auto CD-ROM2 Startup] cdaccess2.exe
O4 - HKLM\..\RunServices: [Generic Host Process326a System Backup] scvhost326a.exe
O4 - HKLM\..\RunServices: [Auto CD-ROM2 Startup] cdaccess2.exe
O4 - HKCU\..\Run: [Auto CD-ROM2 Startup] cdaccess2.exe
O4 - HKCU\..\Run: [Generic Host Process326a System Backup] scvhost326a.exe

Toujours en mode sans echec, supprime les dossiers/fichiers en gras

C\temp\ <-- supprimer tout le contenu du dossier
C:\windows\temp\ <-- supprimer tout le contenu du dossier
C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<-- supprimer tout le contenu du dossier

(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)

IE > Outils > Options internet
Dans le champ "Fichiers Internet Temporaires", tu cliques sur le bouton du mileu "Supprimer les fichiers".
Tu coches la petite case "Supprimer tout le contenu hors connexion" et tu valides par Ok.

Vide la corbeille

Dans l'Explorateur Windows recacher les fichiers système afin de ne pas faire d'erreur à l'avenir:
Retourne à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.

Reboot en mode normal et poste un nouveau log.

[neau]

voila pow-wow, dis moi si c'est ok

Log HijackThis

@+

[Pow-wow]

Là c'est bon